Sicherer mit PWA (Teil 3)

04.03.2020

NFC und RFID-Tags kommen ins WebBisher:

Im ersten Teil dieser Artikelserie haben wir berichtet, dass NFC und RFID-Tag Funktionen demnächst auch für Mobil-Lösungen auf Basis von PWA Technologie möglich werden. In diesem Zusammenhang haben wir beleuchtet, was PWAs überhaupt sind und was das für Sie bedeutet.

Im zweiten Teil haben wir erklärt, wie sich dadurch Updatezyklen verkürzen und wie Sie das als Anwender vorwärtsbringt.

Sie können die Details auch nochmal hier nachlesen:

Teil 1: Was sind Progressive Web Apps

Teil 2: Kürze Update Zyklen und Vorteile durch PWA

In diesem letzten Teil unserer Serie erläutern wir, wieso sich die Sicherheit für Sie durch PWA-Technologien verbessert und welche weiteren Vorteile eine Standardisierung dieser Technologie mit sich bringt.

Bessere Sicherheit

Sicherheit auf Ihrem SmartphoneDie gute Nachricht: Sicherheit auf Ihrem Smartphone ist möglich. Die schlechte Nachricht: Sie müssen diese Sicherheitsfunktionen aber auch nutzen, korrekt einstellen und stetig aktuelle Sicherheitsupdates einspielen. Hinzukommt, dass auch weitere Partner, wie zum Beispiel die App-Store-Anbieter, Ihren Teil dazu beitragen müssen, was in der Vergangenheit leider mit durchwachsenen Ergebnissen behaftet war.

Sicherheits-Infrastruktur auf dem Smartphone

Aktuelle Smartphones haben zahlreiche Sicherheitsoptionen, angefangen bei Verschlüsselung und Rechte-Management für Apps, sogar bis hin zu Virenscannern. Das Problem dabei ist, dass diese Sicherheitsoptionen auch verwendet werden müssen bzw. eines „Einschalten“ bedürfen, was leider insbesondere bei Geräten in den niedrigeren Preiskategorien oft nicht der Standardfall ist.

Sicherheitsoptionen müssen oft erst aktiviert werdenSind diese Optionen aktiviert, gibt es das nächste Hindernis für die Sicherheit: Denn damit Anwendungen auch funktionieren, müssen diese ganz legitim nach nötigen Rechten fragen, um gewünschte Funktionen auch ausführen zu können. Hier gibt es aber gleich mehrere Probleme, zum ersten fragen viele Apps nach sehr viel mehr Rechten als eigentlich nötig und es ist insbesondere für Laien-Anwender manchmal schwer nachzuvollziehen, was welche Rechte eigentlich bedeuten und wozu diese nötig sind. Oft führt das lediglich zu sorglos und unbedachten Einwilligungen zu Rechten für diese Apps, ohne dass eine Kontrolle durch den Anwender wirklich realistisch möglich ist.

Geräte Updates

Und letztlich gibt es noch das altbekannte Problem mit den Updates für das Gerät, was insbesondere auf der Android-Plattform eine große Schwierigkeit darstellt. Viele Nutzer würden sicher gern Updates einspielen, wenn diese durch die Geräte-Hersteller denn auch zur Verfügung gestellt würden. Leider ist dies insbesondere bei preiswerten Smartphones oft nicht der Fall, so dass bedenkliche Sicherheitslücken oft nicht geschlossen werden oder geschlossen werden können.

Sicherheit durch App-Store-AnbieterSicherheit durch App-Store-Anbieter

Wie bereits erwähnt genügt die Geräte-Sicherheit selbst nicht, wenn bösartige Anwendungen installiert werden. Das Versprechen der App-Store-Anbieter ist daher, nur ausgewählte und geprüfte Software und Apps anzubieten. Die Realität sieht oft anders aus und in vielen Apps verstecken sich Schadcode, Viren und Spionage-Tools. Solche Meldungen wie zum Beispiel hier erscheinen mit fast beängstigender Regelmäßigkeit und zeigen die Grenzen von Schutz-Algorithmen der Store-Betreiber auf.

Nun ist es leicht den Schwarzen Peter an die Store-Anbieter zu schieben, wahr ist aber auch, dass im Angesicht von Millionen von Apps ein automatisierter Schutz, wie die Meldungen zeigen, nicht ausreichend ist – andererseits – auf Grund der Anzahl – eine manuelle, ausführliche Prüfung aber auch nicht möglich ist, insbesondere bei Apps, die nur ein paar 100.000 Nutzer finden.

Rettung durch PWA?

Garant für die Sicherheit und quasi Wächter ist der Web-BrowserWas ist dann die Alternative, mögen sich Einige fragen? Ein zumindest alternativer Ansatz sind PWA-Apps. Letztlich sind dies eigentlich nur „bessere“ Webseiten und mit solchen können wir mittlerweile recht gut und vor allem sicher umgehen. Ebenso ist der Sicherheitsansatz entgegengesetzt: Statt Funktionen durch ein Rechte-Management einzuschränken, kommen PWA zunächst ganz ohne Rechte und können stückweise unter bestimmten Voraussetzungen und bei tatsächlichem Bedarf unmittelbar nach zusätzlichen Befugnissen fragen.

Als Garanten für die Sicherheit und quasi Wächter agiert der Browser, in welchem die Webseite oder PWA-App letztlich läuft, auch dann, wenn der Browser selbst gar nicht mehr in den Vordergrund tritt. Alle PWA-Anwendungen laufen somit in einer sogenannten „Sandbox“ – eine stark eingeschränkte und abgeschottete Umgebung, welche die App vom eigentlichen Smartphone und z.B. Ihren sensitiven Daten trennt.

Bisher war auch genau das der Grund, warum viele Apps als PWA nicht möglich waren. Es gab einfach keine technische Möglichkeit bestimmte Geräte-Funktionen zu nutzen – wie es auch mit NFC und RFID-Tags bisher der Fall war. Immer mehr Schnittstellen und Technologien, die in die PWA-Familie Einzug finden, ändern dies aber gerade und das aber mit einer anderen Herangehensweise: Sicherheit und Privacy-First – also Sicherheits- und Datenschutzaspekte immer als Ausgangspunkt einer jeden Schnittstellenarchitektur oder English „Secure-By-Design“.

Browser dient als SicherheitswächterBrowser als Sicherheitswächter

Der Browser als Zwischenschicht hat auch noch mehr sicherheitsrelevante Vorteile: Zum einen stehen üblicherweise sehr viel öfter, regelmäßiger und länger Updates bereit, auch für ältere oder preiswerte Smartphones und vor allem auch ohne Mithilfe der Gerätehersteller.

Des Weiteren wird der Browser von Millionen oder gar Milliarden Menschen genutzt und dementsprechend getestet, geprüft und bei Sicherheitslücken meist zeitnah gefixt. Gegen Sicherheitslücken und Schadsoftware sind Sie als Nutzer so sehr viel besser geschützt.

Standardisierung

Mit Standardisierung neue Geräteklassen erschließenDie Nutzung des Browsers bei PWA Anwendungen und die damit einhergehende Standardisierung von Schnittstellen bringt aber auch noch weiteren Nutzen. Denn technische Neuerungen können so auch auf neuen Gerätgruppen Einzug finden. Beispielsweise NFC und RFID-Tags: Technisch gesehen sind bereits sehr viele Geräte mit den nötigen Voraussetzungen in der Hardware ausgestattet – auch die Geräte aus dem Hause Apple. Insbesondere dort ist die Nutzung dieser Technologie aber weitestgehend wenigen geschlossenen Lösungen vorbehalten, wie z.B. ApplePay. Mit der Standardisierung können wir hoffen, dass NFC und RFID-Tags irgendwann auch bei Apple unterstützt werden wird, auch wenn derzeit noch keinerlei Aussagen dieser Art abgeben wurden.