Von Verteidigungslaboren zu mobilen Apps: Wie der Anwendungsschutz wuchs

Das Jahr 2001 markierte einen Wendepunkt für die Anwendungssicherheit, auch wenn dies damals nur wenige erkannten.

Im April musste eine EP-3 der US-Marine nach einer Kollision mit einem chinesischen Abfangjäger in der Luft auf der Insel Hainan notlanden. Die Besatzung hatte 26 Minuten Zeit, um sensible Ausrüstung und Dokumente vor der Landung zu vernichten. Sie improvisierten – sie füllten Kaffee in die Festplattenlaufwerke und bearbeiteten die Festplatten mit einer Axt. Es reichte nicht.

Im selben Jahr wurde OWASP gegründet, um die Softwaresicherheit zu verbessern – der Beginn einer Gemeinschaft, die schließlich Standards wie MASVS definieren sollte, die wir heute verfolgen.

Im selben Jahr entwickelte ein Doktorand der Purdue University namens Hoi Chang zusammen mit seinem Betreuer Mikhail Atallah und den Kollegen Tim Korb und John Rice ein Programm zur Verschleierung von Windows-Anwendungen. Aus dieser Arbeit entstand Arxan.

Drei Ereignisse in einem Jahr. Eine eindrucksvolle Demonstration dessen, was passiert, wenn Angreifer Zugriff auf ungeschützte Systeme erlangen. Die Entstehung einer Community, die sich der Softwaresicherheit im großen Stil widmet. Und die Gründung eines Unternehmens, das Anwendungen schwerer angreifbar macht.

Das Zusammentreffen dieser Faktoren war kein Zufall. Der Schutz von Anwendungen entwickelte sich zu einem Thema, das alle Bereiche – nationale Sicherheit, kommerzielle Software und die aufkommende Disziplin der sicheren Softwareentwicklung – überschritt. Es würde Jahre dauern, bis sich die einzelnen Aspekte miteinander verknüpften, doch im Jahr 2001 traten sie alle in Erscheinung.

Das Verteidigungszeitalter

Zwei Jahre zuvor hatte das US-Verteidigungsministerium erstmals ein Mandat erlassen, das Manipulationsschutzmaßnahmen in militärischen Beschaffungsprogrammen vorschrieb. Die Bedrohung ging von Nationalstaaten aus, die über Labore, Expertise im Bereich Reverse Engineering und Ausrüstung verfügten, um ganze Befehlssequenzen eines einzigen Durchlaufs aufzuzeichnen. Ereignisse in der Industrie machten die realen Konsequenzen für diejenigen mit den entsprechenden Sicherheitsfreigaben deutlich.

Manche Verteidigungsprogramme setzten von Anfang an auf Schutzmaßnahmen. Andere drängten auf Ausnahmeregelungen – Manipulationsschutz verursachte zusätzliche Kosten, verlangsamte die Zeitpläne und verkomplizierte den Verifizierungs- und Validierungsprozess, bei dem der gesamte Code auf die Anforderungen zurückführbar sein musste. Verschleierung erschwerte diese Rückverfolgbarkeit absichtlich.

Die gleiche Spannung besteht auch heute noch – Sicherheitsmaßnahmen, die die Entwicklung erschweren, stoßen so lange auf Widerstand, bis Verluste die Kosten unbestreitbar machen.

Doch die Durchsetzung der Richtlinien wurde im Laufe der Zeit verschärft. Bereits laufende Programme konnten Ausnahmegenehmigungen erhalten; neue Programme hatten es zunehmend schwerer. All diese kleinen Maßnahmen trugen zu einer Lawine bei.

In diesem Umfeld wurde Arxan gegründet. Die frühen Schutzrechte des Unternehmens wurden von Purdue lizenziert, und der anfängliche Schwerpunkt lag auf Anwendungen zur Manipulationssicherung im Verteidigungsbereich.

Die kommerzielle Migration

Im Jahr 2010 wurde Arxans Verteidigungssparte aus regulatorischen Gründen an Microsemi verkauft, das kommerzielle Geschäft wurde jedoch unabhängig weitergeführt. Die gleichen Schutztechniken fanden neue Anwendungsgebiete.

Ein Softwareunternehmen stellte fest, dass seine Produkte nachgebaut und mit drastisch reduzierten Preisen weiterverkauft wurden. Konkurrenten konnten eine einzelne Kopie erwerben, die Lizenzierung umgehen und den ursprünglichen Anbieter preislich unterbieten. Die Bedrohung war konkret und die Verluste waren messbar.

Auch Produktionsanlagen waren ähnlichen Risiken ausgesetzt. Ein ausländischer Konkurrent konnte eine Maschine erwerben, die Hardware zerlegen und die zugehörige Software per Reverse Engineering analysieren – und so im Handumdrehen ein Plagiat herstellen. Das wertvolle geistige Eigentum lag nicht nur im physischen Design, sondern auch im Quellcode.

Diese ersten gewerblichen Käufer handelten aus Bedrohungsgründen. Sie hatten das Problem aus erster Hand erlebt und suchten nach Lösungen.

Finanzdienstleistungen

Eine große britische Bank – vorausschauend und frühzeitig auf Unregelmäßigkeiten in der Nutzung ihrer Anwendungen hinweisend – begann bereits vor gesetzlichen Vorgaben mit dem Aufbau eigener Schutzmaßnahmen. Wir arbeiteten mit ihr zusammen, implementierten die benötigten Funktionen und schützen sie bis heute.

Andere Banken folgten. Einige hatten zuvor die durch Betrug entstandenen Verluste beziffert, die sie eliminieren wollten. Ein Institut hatte ein beträchtliches jährliches Budget für Betrugsbekämpfung eingeplant; nach der Implementierung eines Anwendungsschutzes war dieses nicht mehr nötig.

Dieses Muster wiederholte sich branchenweit: Die größten Institute erkannten die Bedrohung als Erste, dann verbreitete sich das Wissen zu kleineren Banken, regionalen Instituten, Kreditgenossenschaften und Versicherungen. Mitarbeiter wechselten zwischen den Organisationen und brachten ihr Fachwissen mit. Die Logik war einfach: Wie ein Sicherheitschef es in Anlehnung an den alten Spruch über Bankräuber formulierte: „Dort ist das Geld.“

Glücksspiel- und Umsatzschutz

Spielestudios verfolgten beim Schutz ihrer Systeme einen bestimmten Ansatz. Der Großteil der Einnahmen eines Spiels wird in den ersten Wochen nach Veröffentlichung generiert, mit einem starken Anstieg, gefolgt von einem langen Rückgang. Die Studios erklärten uns direkt: Sie benötigten einen Schutz, der in diesem kritischen Zeitraum zuverlässig funktioniert. Sie wussten, dass Angreifer früher oder später einen Weg finden würden, die Systeme zu durchbrechen, aber bis dahin hatte sich die Umsatzkurve bereits abgeflacht.

Die Gaming-Branche war eine der ersten, die zeitlich begrenzte Sicherheit definierte: Schutz muss nicht dauerhaft sein, sondern nur während des Umsatzzeitraums ausreichend. Dieses Konzept ist auch außerhalb der Gaming-Branche relevant: Produkteinführungen, Fusionen und Übernahmen sowie regulierte Markteinführungen folgen derselben Dynamik.

Die Bedrohung war konkret, der Zeitplan bekannt und der Return on Investment unmittelbar.

Medizintechnik

Hersteller von Medizinprodukten sehen sich mit zunehmend strengeren Cybersicherheitsanforderungen der FDA konfrontiert. Der Schutz vor Manipulation und Reverse Engineering ist mittlerweile fester Bestandteil der regulatorischen Rahmenbedingungen.

Doch die Einhaltung gesetzlicher Bestimmungen ist nicht der einzige Antrieb. Diese Unternehmen verfügen auch über wertvolles geistiges Eigentum – proprietäre Algorithmen, Diagnoselogik, Behandlungsprotokolle –, von dem Wettbewerber profitieren würden. Die Motivation ist bekannt: Die Einhaltung gesetzlicher Vorschriften schafft den Handlungsbedarf, der Schutz des geistigen Eigentums verleiht dem Ganzen jedoch zusätzliche Dringlichkeit.

Wo der Markt jetzt steht

Im Jahr 2020 schloss sich Arxan mit CollabNet VersionOne, XebiaLabs, Experitest und Numerify zusammen, um Digital.aiDer Name Arxan ist in Kreisen der Anwendungssicherheit weiterhin wohlbekannt, und die Technologie entwickelt sich ständig weiter.

Käufer betreten den Markt heute zu unterschiedlichen Zeitpunkten und mit unterschiedlichen Rahmenbedingungen. Einige haben die Bedrohung – Betrugsverluste, Softwarepiraterie, Probleme mit der Wettbewerbsanalyse – selbst erlebt. Andere reagieren auf Fragen der Geschäftsleitung oder Sicherheitsanforderungen von Anbietern. Wieder andere beginnen erst jetzt, sich zu fragen, ob ihre Anwendungen Schutz benötigen.

Der Markt ist ausgereift, und diese Reife bedeutet, dass mehr Organisationen als je zuvor geschützt sind.

Was wir gelernt haben

Die Bedrohung an sich hat sich nicht grundlegend verändert. Angreifer mit Zugriff auf Ihre Anwendung – seien es staatliche Labore oder motivierte Einzelpersonen mit frei verfügbaren Tools – werden sie analysieren. Geändert hat sich lediglich, wer darauf achtet.

Vor 25 Jahren war der Schutz von Anwendungen ein reines Verteidigungsthema. Heute erstreckt er sich über Finanzdienstleistungen, Spieleentwicklung, Fertigung, Gesundheitswesen und viele weitere Branchen. Die Tools haben sich weiterentwickelt – einfachere Bereitstellung, bessere Analyse, weniger Konfigurationsaufwand. Doch das Kernproblem bleibt bestehen: Wertvolle Logik und Daten befinden sich in Software, die in Umgebungen läuft, die Sie nicht kontrollieren.

Wir haben mit Käufern in jeder Phase dieser Reifekurve zusammengearbeitet. Mit denen, die früh einstiegen, weil sie schlechte Erfahrungen gemacht hatten. Mit denen, die später kamen, weil ihre Branche aufgeholt hatte. Und mit denen, die sich gerade erst mit dieser Frage auseinandersetzen.

Wir haben festgestellt, dass der Einstiegspunkt weniger wichtig ist als die Bereitschaft, das eigene Risiko zu verstehen. Wir sind lange genug in diesem Bereich tätig, um bei diesem Gespräch zu helfen, egal wo es beginnt.