Mögliche Sicherheitsauswirkungen des EU-Digital-Marketplace-Gesetzes

Vor der Verabschiedung des Digital Markets Act (DMA) in Europa war Apples App Store „Walled Garden Model“ wie alle App Stores nicht ohne Sicherheitslücken – das Verbot des „Side-Loading“ bot jedoch nachweislich mehr Sicherheit im Vergleich zu freizügigeren Marktplätzen wie Google Play. Nach dem kürzlich in der Europäischen Union erlassenen Digital Markets Act dürften solche Verbote für sogenannte „Gatekeeper“-Unternehmen wie Apple jedoch weniger wahrscheinlich bestehen bleiben, was unserer Meinung nach die Sicherheit des gesamten Ökosystems mobiler Anwendungen beeinträchtigen wird.

Das Gesetz über digitale Märkte trat offiziell am 1. November 2022 in Kraft und die meisten seiner Bestimmungen traten im Mai 2023 in Kraft. Am 6. September 2023 ernannte die Europäische Kommission jedoch sechs „Gatekeeper“-Unternehmen, darunter Apple und Alphabet, die Muttergesellschaft von Google Unternehmen. Darin wurde festgelegt, dass jeder Gatekeeper innerhalb von sechs Monaten nach seiner Identifizierung eine Reihe von Compliance-Meilensteinen erfüllen muss. Dementsprechend kann Apple ab dem 6. März 2024 App Store-Benutzer nicht mehr daran hindern, mobile Anwendungen oder andere Produkte oder Dienste direkt Endbenutzern oder über Dienste von Drittanbietern anzubieten. Der DMA ist die jüngste Manifestation einer jahrzehntelangen Spannung zwischen digitaler „Sicherheit“ und Freiheit. Für Apple, ein Unternehmen, das für strenge App-Store-Kontrollen steht, stellt der DMA einen Schlag für das Angebot einer bestimmten Art von Sicherheit dar. Für Verbraucher bietet der DMA eine gemischte Bilanz: mehr Wahlfreiheit, aber auch mehr potenzielle Risiken. Dieser Beitrag befasst sich mit den Auswirkungen des DMA auf den App-Store-Wettbewerb und die Wahlmöglichkeiten der Verbraucher aus der Perspektive eines Unternehmens, das Apps für Endverbraucher entwickelt, und bietet Ratschläge für Unternehmen, die Anwendungen im schönen neuen, vom DMA vorgeschriebenen App-Store-Ökosystem sichern möchten.

Die Landschaft vor dem DMA

Vor der Einführung des DMA war die Sicherheitslandschaft für Marktplätze für mobile Anwendungen in der Vergangenheit geteilt, wobei der App Store für iOS-Geräte im Vergleich zu denen für Android-Geräte überlegene Sicherheitsmaßnahmen aufwies. Laut unserem Bedrohungsbericht 2023 waren Android-Apps mit größerer Wahrscheinlichkeit Bedrohungen ausgesetztsafe Umgebungen wie gerootete Telefone oder solche, die auf Emulatoren laufen. Konkret wurden 76 % der Android-Apps in UN ausgeführtsafe Umgebungen im Vergleich zu 51 % der iPhone-Apps. Darüber hinaus war die Wahrscheinlichkeit, dass Android-Apps mit geändertem Code ausgeführt wurden, mehr als viermal höher als bei iPhone-Apps.

Diese Ungleichheit kann auf verschiedene Faktoren zurückzuführen sein, darunter die Verfügbarkeit von Android für Drittlizenznehmer, die Verbreitung von Drittherstellern, die Verfügbarkeit kostenloser Emulatoren mit vollem Funktionsumfang und die einfache Möglichkeit, Apps seitlich zu laden – diese stehen im Gegensatz zur kontrollierten Hardware von Apple Ökosystem und vor allem geschlossener digitaler App-Marktplatz.

Die Katalysatoren des Wandels

Die Motivation der Europäischen Union hinter dem DMA wurde nicht als direkt mit Sicherheitsbedenken verknüpft angesehen, sondern zielte darauf ab, von Technologieunternehmen errichtete Barrieren abzubauen und den Wettbewerb auf dem App-Markt zu fördern. Streitigkeiten zwischen Apple und Unternehmen wie Epic Games und Spotify, bei denen es um App-Store-Richtlinien und -Gebühren ging, unterstrichen die Notwendigkeit regulatorischer Eingriffe. Während Apple wohl ein sichereres Ökosystem bereitstellte, zwangen sie App-Besitzer im Wesentlichen auch dazu, Provisionsgebühren auf die erzielten Einnahmen zu zahlen, auch für In-App-Käufe, die manchmal bis zu 30 % des Preises der gekauften Produkte betrugen. Der DMA schafft daher nicht nur die Voraussetzungen für eine größere Auswahl der Verbraucher und mehr Wettbewerb auf dem Markt, sondern hindert Unternehmen wie Apple auch daran, eine lukrative Einnahmequelle zu nutzen.

Die Kehrseite: Sicherheitsbedenken

Die vom DMA vorgeschriebene Öffnung digitaler Marktplätze ist jedoch nicht ohne Sicherheitslücken und könnte unbeabsichtigt den Weg für Trojaner-Anwendungen oder „Trojaner“ (Apps mit Malware, die andere Apps angreifen) sowie für Marktplätze für geklonte Apps ebnen sich als das „Echte“ ausgeben. Der Banking-Trojaner „anatsa“ ist beispielsweise immer wieder auf verschiedenen Android-App-Marktplätzen aufgetaucht und wurde mit Angriffen auf mehr als 600 Mobile-Banking-Anwendungen weltweit in Verbindung gebracht. Bisher war dieses Phänomen auf Angriffe auf Android-Geräte beschränkt. In Zukunft könnte es in weniger regulierten App-Ökosystemen für iPhones fruchtbaren Boden finden.

Apples Reaktion und neue Sicherheitsmechanismen

Apples Widerlegung des DMA unterstreicht seine Befürchtungen hinsichtlich der Benutzersicherheit und plädiert für einen vorsichtigen Ansatz bei der Demokratisierung des Marktes. Apple hat eine Reihe neuer Sicherheitsfunktionen eingeführt, darunter Beglaubigung für iOS-Apps, obligatorische Autorisierungen für Marktplatzentwickler und transparente Offenlegung alternativer Zahlungen. Im besten Fall bieten diese Maßnahmen jedoch nur eine teilweise Minderung der Risiken, die von Drittanbieter-App-Stores ausgehen, und stellen gleichzeitig sicher, dass Apple einen Teil der finanziellen Verluste wieder gutmachen kann, die das Unternehmen mit Sicherheit erleiden wird, wenn sein Einfluss auf das App-Ökosystem nachlässt.

Auswirkungen auf Unternehmen, die Apps für ihre Kunden erstellen

Der DMA birgt das Potenzial, neue Risiken für Unternehmen mit sich zu bringen, die Apps entwickeln, insbesondere das erhöhte Risiko von Trojanern und dem Klonen von Apps. Um dem entgegenzuwirken, sollten Unternehmen robustere anwendungsbasierte Sicherheitsstrategien einführen, einschließlich der Integration spezieller Sicherheit App-Härtung– in den Softwareentwicklungslebenszyklus.

Zur App-Härtung gehört die Bereitstellung einer Möglichkeit, zu erkennen, ob/wann Anwendungen in un ausgeführt werdensafe Umgebungen sowie die Verhinderung Bedrohungsakteure daran hindert, geänderte Anwendungen zu ändern und erneut zu veröffentlichen. Es umfasst auch Schutzfunktionen wie Signaturüberprüfung und Codeintegritätsprüfungen, mit denen verhindert werden kann, dass diese geänderten Anwendungen verwendet werden, um Endbenutzer auszunutzen, die unabsichtlich in einem App-Store eines Drittanbieters auf sie gestoßen sind. Darüber hinaus können Unternehmen Überwachungsfunktionen in ihre Apps integrieren, um Bedrohungen für die App nach der Installation zu überwachen.deployment. Endlich, Selbstschutz der Laufzeitanwendung (RASP) Mechanismen können Apps in die Lage versetzen, Bedrohungen autonom zu neutralisieren, wenn sie in ungeschützten Umgebungen betrieben werdensafe Umgebungen oder mit geändertem Code, wodurch die App-Integrität in der immer komplexer werdenden Marktlandschaft gewahrt bleibt.

Zusammenfassung

Die DMA versucht, „Walled Garden“-Ökosysteme zum Nutzen der Verbraucher und Endverbraucher zu öffnen. Mit diesen Bemühungen gehen Risiken einher, und diese Risiken verkörpern das differenzierte Gleichgewicht, das im digitalen Zeitalter zwischen Freiheit und Sicherheit erforderlich ist. Da das Gesetz die Zukunft der App Stores und des breiteren digitalen Marktes neu gestaltet, müssen Unternehmen, die Apps für das iPhone erstellen, eine größere Verantwortung für die Sicherheit ihrer Apps übernehmen. Während Apples reaktionsfähige Sicherheitsmaßnahmen einen Rahmen für die Aufrechterhaltung der Benutzerfreundlichkeit bieten safeUnternehmen müssen auch umfassende Schutzstrategien ergreifen, um diese neue Ära erfolgreich zu meistern. Dieser Wandel erfordert grundsätzlich, dass Unternehmen mehr Shift-Left-Strategien in Bezug auf Sicherheit anwenden. Die Auslieferung von iOS-Anwendungen in dieser neuen Umgebung ohne umfassende Anwendungshärtung, einschließlich Schutz vor Reverse Engineering, wird jetzt gefährlicher denn je.