Die Bedeutung von Mobile Security
Die Sicherheit mobiler Geräte und Anwendungen ist heute wichtiger denn je – und die Bedrohungslage hat sich in den letzten zwei Jahren spürbar verschärft. Laut dem Verizon Mobile Security Index 2025 berichten 85 % der Organisationen von einer Zunahme mobiler Angriffe. Gleichzeitig entsteht durch generative KI eine völlig neue Risikodimension: In 93 % der Unternehmen nutzen Mitarbeitende genAI-Tools auf ihren Mobilgeräten – doch nur 17 % haben überhaupt Schutzmaßnahmen gegen KI-gestützte Angriffe implementiert. Verizon spricht hier von einem „perfekten Sturm" aus künstlicher Intelligenz und menschlichem Fehlverhalten.
Wie sich die Bedrohungen verändert haben
Angreifer haben mobile Endgeräte längst zum primären Ziel erklärt. Der Zimperium 2025 Global Mobile Threat Report zeigt deutlich, wie sich das äußert:
- Mishing statt klassisches Phishing. „Mishing" – auf Mobilgeräte zugeschnittenes Phishing – macht inzwischen rund ein Drittel aller erkannten Bedrohungen aus. Über zwei Drittel davon entfallen auf Smishing (SMS-Phishing). Vishing (Voice-Phishing) und Smishing sind im Jahresvergleich um 28 % bzw. 22 % gestiegen – getrieben durch den breiten Einsatz von KI-Werkzeugen auf Angreiferseite.
- Neue Köder. PDF-basiertes Phishing hat sich als wirksame neue Methode etabliert, um schädliche Links zu verstecken. KI-generierte Texte, Stimmen und sogar Deepfakes machen diese Angriffe glaubwürdiger denn je.
- Veraltete Systeme. Rund 50 % der Mobilgeräte laufen auf veralteten Betriebssystemversionen – jede ungepatchte Lücke ist ein offenes Tor.
- Sideloading und Lieferkette. Apps aus inoffiziellen Quellen sind häufig manipulierte Versionen legitimer Anwendungen; knapp ein Viertel der Enterprise-Geräte enthält bereits sideloaded Apps. In der EU hat sich diese Angriffsfläche durch regulatorische Änderungen (Digital Markets Act) zusätzlich vergrößert, da iOS hier inzwischen alternative App-Stores und Sideloading zulässt. Hinzu kommen vergiftete Drittanbieter-SDKs, die sich tief in der Lieferkette verstecken.
Die Kernbotschaft: Mobile Security ist keine Randnotiz mehr, sondern eine der wichtigsten Angriffsflächen überhaupt.
Standards als solide Grundlage
Um diesen Bedrohungen strukturiert zu begegnen, ist das OWASP Mobile Application Security Project nach wie vor die erste Referenz. Es ist in den letzten Jahren deutlich gewachsen und umfasst heute:
- den MASVS (Mobile Application Security Verification Standard) als Anforderungskatalog,
- den MASTG (Mobile Application Security Testing Guide) für die praktische Durchführung,
- und neu die MASWE (Mobile Application Security Weakness Enumeration), die als Brücke zwischen Standard und Testanleitung die typischen Schwachstellen systematisch auflistet.
Die zugehörigen Checklisten wurden zuletzt im Juni 2025 aktualisiert. Diese Standards bieten eine verlässliche Grundlage, um mobile Anwendungen zu prüfen sowie häufige Schwachstellen zu identifizieren und zu beheben.
Warum ein Testkatalog allein nicht reicht
So wertvoll ein Standard ist – ihn nur abzuarbeiten, greift zu kurz. Branchenspezifische Erfahrung, etwa im Finanz- oder Gesundheitswesen, ist entscheidend, um die Schwachstellen zu erkennen, die für genau dieses Umfeld relevant sind: regulatorische Anforderungen, sensible Datenflüsse, geschäftskritische Logik. Ein generischer Test findet generische Lücken. Die teuren Schwachstellen sind oft die kontextspezifischen.
Wie ich arbeite
Bei HSEC.Consulting kombiniere ich den OWASP-Testkatalog (MASVS/MASTG/MASWE) mit Erfahrung aus unterschiedlichen Branchen – und mit einer methodischen, aktuellen Sicht auf die reale Bedrohungslage. Aktuell bleibe ich nicht zuletzt deshalb, weil ich Mobile Security an der USTP in Österreich unterrichte: Lehre zwingt dazu, neue Angriffstechniken und ihre Gegenmaßnahmen kontinuierlich zu verfolgen und verständlich einzuordnen. So geht es nicht nur darum, ob eure App den Standards entspricht, sondern auch darum, ob sie gegen die Angriffe gewappnet ist, die in eurem Geschäftsfeld tatsächlich vorkommen.
Wenn ihr wissen möchtet, wie sicher eure mobilen Anwendungen wirklich sind, sprecht mich gerne an.
#MobileSecurity #AppSec #CyberSecurity #OWASP #MASVS
