Banking-Apps mit TÜV-Zertifikat: Was verbirgt sich hinter dem Siegel?

von

Wer ein Auto hat, weiß genau, wie wichtig der Technische Überwachungsverein ist. Hinter der Abkürzung TÜV steckt für viele vor allem Sicherheit. Doch nicht nur unter der Motorhaube guckt der Verein genau hin. Auch Software kann TÜV-geprüft sein, was vor allem bei Banking-Programmen und Versicherungsvergleichen relevant ist. Wir haben nachgefragt, wie so eine TÜV-Zertifizierung eigentlich funktioniert.

Eigentlich sollte es in diesem Bericht um eine neue Banking-App für den Mac gehen, die seit kurzem im Mac App Store zu finden ist. MoneyMoney heißt sie und macht sowohl an der Oberfläche als auch beim Funktionsumfang einen guten Eindruck. Doch dazu mehr an anderer Stelle. Als ich bemerkte, dass hier das TÜV-Zertifikat fehlt, welches bei iOutBank* (für iOS) vorhanden ist, wurde ich stutzig.

Ein Siegel für den Vertrauens-Bonus

Was bedeutet eigentlich so ein Zertifikat, woher bekommt man es und was für eine Prüfung geht seiner Ausstellung voraus? Die Antworten auf diese Fragen haben zwei freundliche Herren vom TÜV SÜD parat: Wolf Heidemann vom TÜV SÜD Product Service und Hans-Ulrich Bierhahn, Produktspezialist Datenschutz und Datensicherheit. Sie erklärten mir, unter welchen Voraussetzungen der Verein überhaupt tätig wird und was die Entwickler tun müssen, um ihre Programme mit dem begehrten Siegel schmücken zu dürfen.

Zunächst gibt es natürlich keinerlei Pflicht zur Zertifizierung. Zwar nimmt jeder Verein, sei es nun TÜV NORD, TÜV SÜD, TÜV Rheinland oder eines ihrer Tochterunternehmen, “hoheitliche” (lies: staatliche) Aufgaben wahr. Trotzdem gilt in vielen Bereichen, dass eine Prüfung durch eine dieser Institutionen freiwillig ist. So auch im Bereich “Anwendungssoftware”, also Programmen, die durch einen Anwender bedient werden. Anders ist es bekanntermaßen bei Kraftfahrzeugen.

Wenn es um Software geht, sei es für Desktop- oder mobile Computer, liegt der Schwerpunkt der Arbeit des TÜV in genau diesem Bereich, nämlich bei den Banking- und Finanzdienstleister-Programmen. Auch Versicherungsvergleichs-Webseiten haben einen hohen Anteil an der jährlichen Prüfleistung.

Wie prüft der TÜV?

Vor einer solchen Prüfung steht immer die Feststellung des Prüfungsrahmens. Dazu werden zuerst allgemeine Kriterien bestimmt, welche die Prüfer zum Beispiel dem Leitfaden “IT-Grundschutz” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entnehmen. Auch Elemente des Bundesdatenschutzgesetzes (BDSG) fließen in die Prüfungen des TÜV ein. Hieraus erstellt das zuständige Team dann ein auf den konkreten Einzelfall abgestimmtes Prüfprogramm. Beim TÜV-Süd hört das Ganze auf den klangvollen Namen PPP 13011:2008.

Beispielhaft nennt Herr Heidemann einige seiner Bestandteile:

  • Anwendungsbereich definieren
  • Angriffsmöglichkeiten analysieren und beschreiben
  • Aktuellen Stand der Technik ermitteln
  • Testtools und Prüfmethoden beschreiben
  • Prüfplan aufstellen und anschließend bewerten

Dazu werden unter anderem Dokumentationen des Programms angefordert, aus denen sich die vorhandenen Sicherheitsmechanismen im Umgang mit sensiblen Daten ergeben. Fehlen diese Unterlagen, müssen sie erst noch angefertigt werden. Bis dahin wartet der TÜV und prüft auch erst einmal nichts.

Konnten die Entwickler aber die nötige Dokumentation liefern, wird diese studiert und auf mögliche Schwachstellen abgeklopft. Eventuell ergeben sich hieraus bereits die Parameter so genannter “Penetration-Tests” mittels derer später die Belastbarkeit der Anwendung auf die Probe gestellt wird. Die Prüfer versuchen also nach Kräften, dem Programm die geheimen Daten zu entlocken – genau wie ein Hacker es eben tun würde. Nach dieser Vorarbeit geht es dann richtig los.

Display beim iPhone kaputt? Kein Problem: Reparier es selbst mit dem GIGA & Fixxoo DIY-Set für die iPhone Display-Reparatur - schnell, einfach und preiswert!

Weitere Themen: Apps


Kommentare zu diesem Artikel

Neue Artikel von GIGA APPLE

Anzeige
GIGA Marktplatz