APP.1: Client-Anwendungen                                                                                   APP.1.2 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein APP.1.2 Webbrowser von besonderer Bedeutung. 2.1 Ausführung von Schadcode durch Webbrowser Webbrowser laden regelmäßig Daten aus nicht vertrauenswürdigen Quellen. Solche Daten können ausführbaren Schadcode enthalten, der Schwachstellen ausnutzen kann und das IT-System des Benutzers ohne dessen Kenntnis infiziert. Dabei kann es sich um Code handeln, der durch den Webbrowser direkt ausgeführt werden kann, wie etwa Java- Script oder WebAssembly. Ebenso kann es auch ausführbarer Code eines Plug-ins oder einer Erweiterung im Kon- text des Browsers sein, wie etwa Java oder Bestandteile von PDF-Dokumenten. Schließlich kann es sich auch um Code handeln, der vom Webbrowser auf den Client geladen und dort außerhalb des Browser-Prozesses ausgeführt wird. Werden die grundlegenden Schutzmechanismen moderner Webbrowser nicht ausreichend angewendet, werden die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Diensten des Clients oder mögli- cherweise sogar der mit ihm verbundenen Netze bedroht. 2.2 Exploit Kits Schwachstellenlisten und sogenannte Exploit Kits erleichtern die Entwicklung individueller Schadsoftware erheb- lich. Cyberangriffe können automatisiert werden, um Drive-by-Downloads oder andere Verbreitungswege leicht und ohne Expertenwissen zu nutzen. Angreifer können ihnen bekannte Schwachstellen der Webbrowser, der ver- bundenen Ressourcen oder Erweiterungen ausnutzen, um Folgeangriffe vorzubereiten oder Code mit Schadfunk- tion auf den Clients zu laden und zu installieren. Oft wird durch den so auf den Clients geladenen Schadcode wei- tere Schadsoftware nachgeladen, die dann auf den Clients mit den Rechten der Benutzer ausgeführt wird. 2.3 Mitlesen der Internetkommunikation Die grundlegende Sicherheit der Kommunikation im Internet hängt wesentlich vom eingesetzten Authentisie- rungsverfahren und von der Verschlüsselung der Daten auf dem Transportweg ab. Fehlerhafte Implementierungen der entsprechenden Verfahren sind möglich und verhindern eine wirkungsvolle Authentisierung und Verschlüsselung. Viele Webdienste bieten außerdem immer noch veraltete Verschlüsselungs- verfahren an. Somit kann ein Angreifer die Authentisierung von Servern unterlaufen oder die Kommunikation bzw. die Daten werden nicht wirkungsvoll verschlüsselt. Hierdurch können Informationen auf dem Übertragungsweg mitgelesen oder verändert werden. In der Vergangenheit wurden außerdem Zertifizierungsstellen kompromittiert. Angreifer konnten so an Zertifikate für fremde Websites gelangen. 2.4 Integritätsverlust in Webbrowsern Werden Webbrowser, Plug-ins oder Erweiterungen aus nicht vertrauenswürdigen Quellen bezogen, können unab- sichtlich und unbemerkt Schadfunktionen ausgeführt werden. Angreifer können beispielsweise Browserkompo- nenten wie Toolbars fälschen, um die Benutzer auf manipulierte Kopien von Webseiten zu locken, mit deren Hilfe Phishing-Angriffe durchgeführt werden. Bösartige Erweiterungen können Inhalte der betrachteten Webseiten ma- nipulieren oder Daten ausspionieren und an den Angreifer senden. 2.5 Verlust der Privatsphäre Werden Webbrowser unsicher konfiguriert, können vertrauenswürdige Daten zufällig oder böswillig unbefugten Dritten zugänglich gemacht werden. Auch Passwörter können ungewollt weitergegeben werden. Werden Coo- kies, Passwörter, Historien, Eingabedaten und Suchanfragen gespeichert oder unnötige Erweiterungen aktiviert, können Daten von Dritten oder von Schadprogrammen leichter missbräuchlich ausgelesen werden. 2                                                                     IT-Grundschutz-Kompendium: Stand Februar 2021

APP.1.2                                                                               APP.1: Client-Anwendungen 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins APP.1.2 Webbrowser aufgeführt. Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Erfüllung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig               IT-Betrieb Weitere Zuständigkeiten               Benutzer 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein APP.1.2 Webbrowser vorrangig erfüllt werden: APP.1.2.A1 Verwendung von grundlegenden Sicherheitsmechanismen (B) Der eingesetzte Webbrowser MUSS sicherstellen, dass jede Instanz und jeder Verarbeitungsprozess nur auf die ei- genen Ressourcen zugreifen kann (Sandboxing). Webseiten MÜSSEN als eigenständige Prozesse oder mindestens als eigene Threads voneinander isolierten werden. Plug-ins und Erweiterungen MÜSSEN ebenfalls in isolierten Be- reichen ausgeführt werden. Der verwendete Webbrowser MUSS die Content Security Policy (CSP) umsetzen. Der aktuell höchste Level der CSP SOLLTE erfüllt werden. Der Browser MUSS Maßnahmen zur Same-Origin-Policy und Subresource Integrity unterstützen. APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren Version unterstützen. Verbindungen zu Webservern MÜSSEN mit TLS verschlüsselt werden, sofern dies vom Webserver unterstützt wird. Unsichere Versio- nen von TLS SOLLTEN deaktiviert werden. Der Webbrowser MUSS den Sicherheitsmechanismus HTTP Strict Trans- port Security (HSTS) gemäß RFC 6797 unterstützen und einsetzten. APP.1.2.A3 Verwendung von vertrauenswürdigen Zertifikaten (B) Falls der Webbrowser eine eigene Liste von vertrauenswürdigen Wurzelzertifikaten bereitstellt, MUSS sichergestellt werden, dass nur Administratoren diese ändern können. Falls dies nicht durch technische Maßnahmen möglich ist, MUSS den Benutzern verboten werden, diese Liste zu ändern. Außerdem MUSS sichergestellt werden, dass der Webbrowser Zertifikate lokal widerrufen kann. Der Webbrowser MUSS die Gültigkeit der Server-Zertifikate mithilfe des öffentlichen Schlüssels und unter Berück- sichtigung des Gültigkeitszeitraums vollständig prüfen. Auch der Sperrstatus der Server-Zertifikate MUSS vom Webbrowser geprüft werden. Die Zertifikatskette einschließlich des Wurzelzertifikats MUSS verifiziert werden. Der Webbrowser MUSS dem Benutzer eindeutig und gut sichtbar darstellen, ob die Kommunikation im Klartext oder verschlüsselt erfolgt. Der Webbrowser SOLLTE dem Benutzer auf Anforderung das verwendete Serverzertifikat anzeigen können. Der Webbrowser MUSS dem Benutzer signalisieren, wenn Zertifikate fehlen, ungültig sind oder widerrufen wurden. Der Webbrowser MUSS in diesem Fall die Verbindung abbrechen, bis der Benutzer diese aus- drücklich bestätigt hat. APP.1.2.A4 ENTFALLEN (B) Diese Anforderung ist entfallen. APP.1.2.A6 Kennwortmanagement im Webbrowser (B) Wird ein Kennwortmanager im Webbrowser verwendet, MUSS er eine direkte und eindeutige Beziehung zwischen Webseite und hierfür gespeichertem Kennwort herstellen. Der Kennwortspeicher MUSS die Passwörter verschlüs- selt speichern. Es MUSS sichergestellt werden, dass auf die im Kennwortmanager gespeicherten Passwörter nur IT-Grundschutz-Kompendium: Stand Februar 2021                                                                       3

APP.1: Client-Anwendungen                                                                                    APP.1.2 nach Eingabe eines Master-Kennworts zugegriffen werden kann. Außerdem MUSS sichergestellt sein, dass die Au- thentisierung für den kennwortgeschützten Zugriff nur für die aktuelle Sitzung gültig ist. Der IT-Betrieb MUSS sicherstellen, dass der verwendete Browser den Benutzern die Möglichkeit bietet, gespeicherte Passwörter zu löschen. APP.1.2.A13 Nutzung von DNS-over-HTTPS (B) Die Institution MUSS prüfen, ob die verwendeten Browser DNS-over-HTTPS (DoH) einsetzen. Es MUSS festgelegt werden, ob die Funktion verwendet werden soll. Falls die Institution DNS-Server als Resolver verwendet, die über nicht vertrauenswürdige Netze angesprochen wer- den, SOLLTE DoH verwendet werden. Falls DoH verwendet wird, MUSS die Institution einen vertrauenswürdigen DoH-Server festlegen. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein APP.1.2 Webbrowser. Sie SOLLTEN grundsätzlich erfüllt werden. APP.1.2.A5 ENTFALLEN (S) Diese Anforderung ist entfallen. APP.1.2.A7 Datensparsamkeit in Webbrowsern [Benutzer] (S) Cookies von Drittanbietern SOLLTEN im Webbrowser abgelehnt werden. Gespeicherte Cookies SOLLTEN durch den Benutzer gelöscht werden können. Die Funktion zur Autovervollständigung von Daten SOLLTE deaktiviert werden. Wird die Funktion dennoch genutzt, SOLLTE der Benutzer diese Daten löschen können. Der Benutzer SOLLTE außerdem die Historiendaten des Web- browsers löschen können. Sofern vorhanden, SOLLTE eine Synchronisation des Webbrowsers mit Cloud-Diensten deaktiviert werden. Tele- metriefunktionen sowie das automatische Senden von Absturzberichten, URL-Eingaben und Sucheingaben an den Hersteller oder andere Externe SOLLTEN soweit wie möglich deaktiviert werden. Peripheriegeräte wie Mikrofon oder Webcam sowie Standortfreigaben SOLLTEN nur für Webseiten aktiviert wer- den, bei denen sie unbedingt benötigt werden. Der Browser SOLLTE eine Möglichkeit bieten, WebRTC, HSTS und JavaScript zu konfigurieren bzw. abzuschalten. APP.1.2.A8 ENTFALLEN (S) Diese Anforderung ist entfallen. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein APP.1.2 Webbrowser exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBE- DARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. APP.1.2.A9 Einsatz einer isolierten Webbrowser-Umgebung (H) Bei erhöhtem Schutzbedarf SOLLTEN Webbrowser eingesetzt werden, die in einer isolierten Umgebung, wie z. B. ReCoBS, oder auf dedizierten IT-Systemen ausgeführt werden. APP.1.2.A10 Verwendung des privaten Modus [Benutzer] (H) Der Webbrowser SOLLTE bei erhöhten Anforderungen bezüglich der Vertraulichkeit im sogenannten privaten Mo- dus ausgeführt werden, sodass keine Informationen oder Inhalte dauerhaft auf dem IT-System des Benutzers ge- speichert werden. Der Browser SOLLTE so konfiguriert werden, dass lokale Inhalte beim Beenden gelöscht werden. 4                                                                      IT-Grundschutz-Kompendium: Stand Februar 2021

APP.1.2                                                                            APP.1: Client-Anwendungen APP.1.2.A11 Überprüfung auf schädliche Inhalte (H) Aufgerufene Internetadressen SOLLTEN durch den Webbrowser auf potenziell schädliche Inhalte geprüft werden. Der Webbrowser SOLLTE den Benutzer warnen, wenn Informationen über schädliche Inhalte vorliegen. Eine als schädlich klassifizierte Verbindung SOLLTE NICHT aufgerufen werden können. Das verwendete Verfahren zur Über- prüfung DARF NICHT gegen Datenschutz- oder Geheimschutz-Vorgaben verstoßen. APP.1.2.A12 Zwei-Browser-Strategie (H) Für den Fall von ungelösten Sicherheitsproblemen mit dem verwendeten Webbrowser SOLLTE ein alternativer Browser mit einer anderen Plattform installiert sein, der dem Benutzer als Ausweichmöglichkeit dient. 4 Weiterführende Informationen 4.1 Wissenswertes • BSI-Veröffentlichung zur Cyber-Sicherheit BSI-CS 047: „Absicherungsmöglichkeiten beim Einsatz von Web- browsern“ • Mindeststandard des BSI für den Einsatz des SSL/ TLS-Protokoll durch Bundesbehörden nach § 8 Abs. 1 Satz 1 BSIG • Mindeststandard des BSI für sichere Webbrowser nach § 8 Absatz 1 Satz 1 BSIG • Common Criteria Protection Profile for Remote-Controlled Browsers System (ReCoBS): BSI-PP-0040 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein APP.1.2 Webbrowser von Bedeutung. G 0.14     Ausspähen von Informationen (Spionage) G 0.15     Abhören G 0.18     Fehlplanung oder fehlende Anpassung G 0.19     Offenlegung schützenswerter Informationen G 0.22     Manipulation von Informationen G 0.23     Unbefugtes Eindringen in IT-Systeme G 0.26     Fehlfunktion von Geräten oder Systemen G 0.28     Software-Schwachstellen oder -Fehler G 0.30     Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.39     Schadprogramme IT-Grundschutz-Kompendium: Stand Februar 2021                                                                  5

APP.1: Client-Anwendungen                                                                      APP.1.2 Elementare    CIA-  G 0.14 G 0.15 G 0.18 G 0.19 G 0.22    G 0.23  G 0.26   G 0.28   G 0.30   G 0.39 Gefährdungen  Werte Anforderungen APP.1.2.A1                                                  X                X                 X APP.1.2.A2            X                    X      X APP.1.2.A3            X                    X      X                                   X APP.1.2.A4 APP.1.2.A5 APP.1.2.A6                          X      X APP.1.2.A7            X                    X APP.1.2.A8 APP.1.2.A9     CI                                           X        X       X                 X APP.1.2.A10    CI     X                    X APP.1.2.A11    C                                                             X                 X APP.1.2.A12    A                                                             X APP.1.2.A13                  X      X      X      X 6                                                        IT-Grundschutz-Kompendium: Stand Februar 2021

APP.1.4                                                                            APP.1: Client-Anwendungen APP.1.4: Mobile Anwendungen (Apps) 1 Beschreibung 1.1 Einleitung Smartphones, Tablets und ähnliche mobile Geräte sind heute auch in Behörden und Unternehmen weit verbreitet. Mitarbeiter können so unabhängig von Ort und Zeit auf Daten der Institution, auf Informationen und Anwendun- gen zugreifen. Mobile Anwendungen (Applikationen, kurz Apps) sind Anwendungen, die auf mobil genutzten Betriebssystemen wie iOS oder Android auf entsprechenden Endgeräten installiert und ausgeführt werden. Apps werden üblicher- weise aus sogenannten App Stores bezogen. Diese werden von den Herstellern der mobil genutzten Betriebssys- teme und Endgeräte betrieben und gepflegt. Im professionellen Umfeld ist es aber auch üblich, Apps selbst zu ent- wickeln und z. B. über Mobile-Device-Management-Lösungen (MDM) auf den Endgeräten zu installieren und zu verwalten. Im Vergleich zu Anwendungen auf Desktop-Betriebssystemen unterliegen Apps unter iOS oder Android besonderen Rahmenbedingungen, wie etwa einem durch das Betriebssystem sichergestellten Berechtigungsmana- gement. Für die unterschiedlichen mobilen Betriebssysteme gibt es mittlerweile eine große Auswahl an verfügbaren Apps. Auch gibt es standardisierte Bibliotheken und Entwicklungsumgebungen, mit deren Hilfe sich Apps im Vergleich zu klassischen Anwendungen schnell selbst entwickeln lassen. 1.2 Zielsetzung Ziel dieses Bausteins ist es, Informationen zu schützen, die auf mobilen Endgeräten mit Apps verarbeitet werden. Auch die Einbindung von Apps in eine bestehende IT-Infrastruktur wird dabei betrachtet. Der Baustein definiert zudem Anforderungen, um Apps richtig auszuwählen und sicher betreiben zu können. Dabei werden die Apps unabhängig von ihrer Quelle (App Store oder eigene Installation) betrachtet. 1.3 Abgrenzung und Modellierung Der Baustein APP.1.4 Mobile Anwendungen (Apps) ist auf alle Anwendungen anzuwenden, die auf mobilen End- geräten eingesetzt werden. Der Baustein betrachtet Apps unter mobilen Betriebssystemen wie iOS und Android. Anforderungen, welche die zugrundeliegenden Betriebssysteme betreffen, werden hier nicht berücksichtigt. Diese Anforderungen finden sich beispielsweise in den Bausteinen SYS.3.2.3 iOS (for Enterprise) sowie SYS.3.2.4 Android. Oft werden Apps zentral über ein Mobile Device Management verwaltet. Anforderungen hierzu können dem Baustein SYS.3.2.2 Mobile De- vice Management (MDM) entnommen werden. Ebenso sind anwendungsspezifische Aspekte von Apps nicht Gegenstand des Bausteins zu mobilen Anwendun- gen. Diese werden in den entsprechenden Bausteinen der Schicht APP Anwendungen, wie z. B. APP.1.2 Web-Brow- ser behandelt. Apps greifen häufig auf Backend-Systeme oder Server bzw. Anwendungsdienste zurück. Werden die Backend-Sys- teme oder Server selber betrieben, werden Sicherheitsempfehlungen dazu nicht an dieser Stelle gegeben, sondern in den entsprechenden Bausteinen des IT-Grundschutz-Kompendiums. Dazu gehören beispielsweise APP.3.1 Web- anwendungen, APP.3.5 Webservices oder APP.4.3 Relationale Datenbanksysteme. Zusätzlich sollten die Bausteine berücksichtigt werden, die sich mit allgemeinen Aspekten von Anwendungen befassen, etwa OPS.1.1.6 Software- Tests und -Freigaben oder APP.6 Allgemeine Software, da diese Aspekte nicht im vorliegenden Baustein berücksich- tigt werden. Bei der Entwicklung eigener Apps sollten die Anforderungen des Bausteins CON.8 Software-Entwick- lung berücksichtigt werden. IT-Grundschutz-Kompendium: Stand Februar 2021                                                                   1

APP.1: Client-Anwendungen                                                                                      APP.1.4 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein APP.1.4 Mobile Anwendungen (Apps) von besonderer Bedeutung: 2.1 Ungeeignete Auswahl von Apps Die ausgewählten Apps wirken sich stark auf die damit verarbeiteten Informationen, auf das mobile Endgerät so- wie häufig auf die IT-Infrastruktur der Institution aus. Wird dies bei der Auswahl der Apps nicht berücksichtigt, kön- nen weitreichende Probleme entstehen. Besonders hoch ist die Gefahr, wenn es sich dabei um Apps handelt, die nicht eigens für die abzubildenden Geschäftsprozesse entwickelt wurden. So könnten beispielsweise die für den Betrieb einer App erforderlichen Voraussetzungen nicht ausreichend betrachtet werden. Möglicherweise ist dann z. B. die mobile Netzanbindung nicht leistungsfähig genug oder die Hardware nicht kompatibel. Apps können auch dann ungeeignet sein, wenn sie keine ausreichende langfristige Einsatzstabilität und -planung bieten oder vom Hersteller nicht ausreichend gepflegt werden. 2.2 Zu weitreichende Berechtigungen Apps benötigen bestimmte Berechtigungen, um auf bestimmte Funktionen und Dienste zugreifen zu können. So kann eine App in der Regel immer auf die Internetverbindung des mobilen Endgeräts zugreifen. Der Standort oder das Adressbuch müssen hingegen meist gesondert freigegeben werden. Werden Apps eingesetzt, die zu weitge- hende Berechtigungen erfordern, oder werden die Berechtigungen nicht ausreichend eingeschränkt, so kann sich das insbesondere auf die Vertraulichkeit und Integrität der Informationen auf dem Endgerät auswirken. Apps kön- nen zudem Informationen an unberechtigte Dritte weitergeben, wie z. B. den Standort, Fotos oder Kontakt- und Kalenderdaten. Außerdem sind Apps in der Lage, lokal abgespeicherte Daten zu verändern oder zu löschen. Schließlich können Apps auch Kosten verursachen, etwa durch Telefonanrufe, versendete SMS oder In-App-Käufe. 2.3 Ungewollte Funktionen in Apps Zwar prüfen manche App-Store-Betreiber die angebotenen Apps, dennoch können diese Sicherheitslücken oder bewusst eingesetzte Schadfunktionen enthalten. Das Risiko ist insbesondere dann hoch, wenn Apps aus ungeprüf- ten oder unzuverlässigen Quellen bezogen werden. Dann kann die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen gefährdet werden. 2.4 Software-Schwachstellen und Fehler in Apps Apps können Schwachstellen enthalten, über die sie direkt am Gerät oder über Netzverbindungen angegriffen werden können. Außerdem werden viele Apps nach einiger Zeit von ihren Entwicklern nicht mehr weiter gepflegt. Dadurch werden erkannte Sicherheitsmängel nicht mehr durch entsprechende Updates behoben. 2.5 Unsichere Speicherung lokaler Anwendungsdaten Einige Apps speichern Daten auf dem Endgerät, beispielsweise Benutzerprofile oder Dokumente. Falls diese Daten unzureichend geschützt sind, können möglicherweise andere Apps darauf zugreifen. Dies betrifft neben bewusst abgelegten Daten auch temporäre Daten, wie beispielsweise im Cache zwischengespeicherte Informationen. Auch sind sie für Unberechtigte leicht lesbar, z. B. wenn ein Mitarbeiter sein Gerät verloren hat. Außerdem werden lokal gespeicherte Informationen oft nicht im Datensicherungskonzept berücksichtigt. Fällt das Endgerät aus oder geht verloren, sind die lokal gespeicherten Informationen ebenfalls nicht mehr verfügbar. 2.6 Ableitung vertraulicher Informationen aus Metadaten Durch Apps sammeln sich viele Metadaten an. Mithilfe dieser Metadaten können Dritte auf vertrauliche Informatio- nen schließen, z. B. über Telefon- und Netzverbindungen, Bewegungsdaten oder besuchte Webseiten. Daraus las- sen sich dann weitere Informationen ableiten, beispielsweise die Organisationsstruktur der Institution, genaue Posi- tionen von Standorten sowie deren personelle Besetzung. 2                                                                        IT-Grundschutz-Kompendium: Stand Februar 2021

APP.1.4                                                                            APP.1: Client-Anwendungen 2.7 Abfluss von vertraulichen Daten Daten werden über verschiedene Wege von und zu einer App übertragen. Dafür stellen mobile Betriebssysteme verschiedene Schnittstellen bereit. Der Benutzer hat ebenfalls verschiedene Möglichkeiten, Daten mit einer App auszutauschen, etwa lokal über eine Speicherkarte, die Zwischenablage, die Gerätekamera oder andere Anwen- dungen. Außerdem können Daten über Cloud-Dienste oder Server des App- oder Geräte-Anbieters übertragen werden. Darüber können Dritte Zugriff auf die vertraulichen Daten erlangen. Schließlich kann auch das Betriebssys- tem selbst Daten für den schnelleren Zugriff zwischenspeichern (Caching). Dabei können Daten versehentlich ab- fließen oder Angreifer auf vertrauliche Informationen zugreifen. 2.8 Unsichere Kommunikation mit Backend-Systemen Viele Apps kommunizieren mit Backend-Systemen, über die Daten mit dem Datennetz der Institution ausgetauscht werden. Die Daten werden bei mobilen Geräten zumeist über unsichere Netze wie ein Mobilfunknetz oder WLAN- Hotspots übertragen. Werden für die Kommunikation mit Backend-Systemen aber unsichere Protokolle verwendet, können Informationen abgehört oder manipuliert werden. 2.9 Kommunikationswege außerhalb der Infrastruktur der Institution Wenn Apps unkontrolliert mit Dritten kommunizieren können, kann dies Kommunikationswege schaffen, die nicht von der Institution erkannt und kontrolliert werden können. So kann ein Benutzer beispielsweise die App eines Cloud-Datenspeicherdienstes nutzen, um Informationen vom Endgerät nach außen zu übertragen. Auch die enge Verzahnung von Social-Media-Diensten mit vielen Apps erschwert die Kontrolle, ob und wie Informationen das Endgerät verlassen. Diese Art von Kommunikationswegen sind nur schwer nachzuvollziehen. Dies kann noch wei- tere Probleme verursachen, etwa wenn der Anwender oder die Institution verpflichtet sind, Informationen oder Vorgänge zu archivieren. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins APP.1.4 Mobile Anwendungen (Apps) aufgeführt. Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauf- tragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig              IT-Betrieb Weitere Zuständigkeiten              Fachverantwortliche 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein APP.1.4 Mobile Anwendungen (Apps) vorrangig erfüllt werden: APP.1.4.A1 Anforderungsanalyse für die Nutzung von Apps [Fachverantwortliche] (B) In der Anforderungsanalyse MÜSSEN insbesondere Risiken betrachtet werden, die sich aus der mobilen Nutzung ergeben. Die Institution MUSS prüfen, ob ihre Kontroll- und Einflussmöglichkeiten auf die Betriebssystemumge- bung mobiler Endgeräte ausreichend sind, um sie sicher nutzen zu können. APP.1.4.A2 ENTFALLEN (B) Diese Anforderung ist entfallen. APP.1.4.A4 ENTFALLEN (B) Diese Anforderung ist entfallen. IT-Grundschutz-Kompendium: Stand Februar 2021                                                                    3

APP.1: Client-Anwendungen                                                                                   APP.1.4 APP.1.4.A5 Minimierung und Kontrolle von App-Berechtigungen [Fachverantwortliche] (B) Sicherheitsrelevante Berechtigungseinstellungen MÜSSEN so fixiert werden, dass sie nicht durch Benutzer oder Apps geändert werden können. Wo dies technisch nicht möglich ist, MÜSSEN die Berechtigungseinstellungen re- gelmäßig geprüft und erneut gesetzt werden. Bevor eine App in einer Institution eingeführt wird, MUSS sichergestellt werden, dass sie nur die minimal benötig- ten App-Berechtigungen für ihre Funktion erhält. Nicht unbedingt notwendige Berechtigungen MÜSSEN hinter- fragt und gegebenenfalls unterbunden werden. APP.1.4.A6 ENTFALLEN (B) Diese Anforderung ist entfallen. APP.1.4.A7 Sichere Speicherung lokaler App-Daten (B) Wenn Apps auf interne Dokumente der Institution zugreifen können, MUSS sichergestellt sein, dass die lokale Da- tenhaltung der App angemessen abgesichert ist. Insbesondere MÜSSEN Zugriffsschlüssel verschlüsselt abgelegt werden. Außerdem DÜRFEN vertrauliche Daten NICHT vom Betriebssystem an anderen Ablageorten zwischenge- speichert werden. APP.1.4.A8 Verhinderung von Datenabfluss (B) Um zu verhindern, dass Apps ungewollt vertrauliche Daten versenden oder aus den gesendeten Daten Profile über die Benutzer erstellt werden, MUSS die App-Kommunikation geeignet eingeschränkt werden. Dazu SOLLTE die Kommunikation im Rahmen des Test- und Freigabeverfahrens analysiert werden. Weiterhin SOLLTE überprüft wer- den, ob eine App ungewollte Protokollierungs- oder Hilfsdateien schreibt, die möglicherweise vertrauliche Informa- tionen enthalten. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein APP.1.4 Mobile Anwendungen (Apps). Sie SOLLTEN grundsätzlich erfüllt werden. APP.1.4.A3 Verteilung schutzbedürftiger Apps (S) Interne Apps der Institution und Apps, die schutzbedürftige Informationen verarbeiten, SOLLTEN über einen institu- tionseigenen App Store oder via MDM verteilt werden. APP.1.4.A9 ENTFALLEN (S) Diese Anforderung ist entfallen. APP.1.4.A10 ENTFALLEN (S) Diese Anforderung ist entfallen. APP.1.4.A11 ENTFALLEN (S) Diese Anforderung ist entfallen. APP.1.4.A12 Sichere Deinstallation von Apps (S) Werden Apps deinstalliert, SOLLTEN auch Daten gelöscht werden, die auf externen Systemen, beispielsweise beim App-Anbieter, gespeichert wurden. 4                                                                    IT-Grundschutz-Kompendium: Stand Februar 2021

APP.1.4                                                                             APP.1: Client-Anwendungen 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein APP.1.4 Mobile Anwendungen (Apps) exemplarische Vorschläge für Anforde- rungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖH- TEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risi- koanalyse. APP.1.4.A13 ENTFALLEN (H) Diese Anforderung ist entfallen. APP.1.4.A14 Unterstützung zusätzlicher Authentisierungsmerkmale bei Apps (H) Falls möglich, SOLLTE für die Authentisierung der Benutzer in Apps ein zweiter Faktor benutzt werden. Hierbei SOLLTE darauf geachtet werden, dass eventuell benötigte Sensoren oder Schnittstellen in allen verwendeten Gerä- ten vorhanden sind. Zusätzlich SOLLTE bei biometrischen Verfahren berücksichtigt werden, wie resistent die Au- thentisierung gegen mögliche Fälschungsversuche ist. APP.1.4.A15 Durchführung von Penetrationstests für Apps (H) Bevor eine App für den Einsatz freigegeben wird, SOLLTE ein Penetrationstest durchgeführt werden. Dabei SOLL- TEN alle Kommunikationsschnittstellen zu Backend-Systemen sowie die lokale Speicherung von Daten auf mögli- che Sicherheitslücken untersucht werden. Die Penetrationstests SOLLTEN regelmäßig und zusätzlich bei größeren Änderungen an der App wiederholt werden. APP.1.4.A16 Mobile Application Management (H) Falls möglich, SOLLTE für das zentrale Konfigurieren von dienstlichen Apps ein Mobile Application Management verwendet werden. 4 Weiterführende Informationen 4.1 Wissenswertes Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) stellt mit dem Leitfaden „Apps & Mobile Services – Tipps für Unternehmen“ (2. Auflage, 2014) eine Entscheidungshilfe zum Thema Apps und Mobile Services in Unternehmen bereit. Das Information Security Forum (ISF) bietet eine Broschüre mit dem Titel „ Securing Mobile Apps – Embracing mo- bile, balancing control“ (2018) an. Auch die „NIST Special Publication 800-163: Vetting the Security of Mobile Applications“ (2015) bietet weiterfüh- rende Informationen zum Thema Apps. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. IT-Grundschutz-Kompendium: Stand Februar 2021                                                                   5