Skip to main content

Aufgaben eines Ingenieurs für mobile Anwendungssicherheit

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Beschreiben der Unterschiede zwischen Anwendungsentwicklung und Anwendungssicherheit
  • Nennen der Sicherheitsherausforderungen, mit denen Anwendungsentwickler konfrontiert werden
  • Angeben wichtiger Fertigkeiten von Ingenieuren für mobile Anwendungssicherheit

Anwendungsentwicklung und Anwendungssicherheit im Vergleich

Nicht alle Entwickler mobiler Anwendungen (Apps) sind auch Ingenieure für mobile Anwendungssicherheit und umgekehrt. Es können zwar beide Berufe über Hintergrundwissen im jeweils anderen Bereich verfügen, die Erwartungen an die Rollen sind jedoch unterschiedlich. Zu den typischen Aufgaben eines Anwendungsentwicklers gehören Programmieren, Entwerfen, Verwalten, Fehlerbehebung, Überwachung auf Updates und mögliche Sicherheitsbedrohungen sowie Endbenutzer-Support für Anwendungen.

Als Ingenieur für mobile Anwendungssicherheit legen Sie dagegen Sicherheitskontrollen und Designanforderungen während der Softwareerstellungs- und -entwicklungsphase des Softwareentwicklungszyklus fest. Außerdem helfen Sie beim Entwickeln von Bedrohungsmodellen und der Risikobeurteilung von Anwendungen. Sie testen mobile Anwendungen mit vielen verschiedenen Tools, um sicherzustellen, dass Sicherheitsprobleme behoben wurden, bevor die Anwendungen für die Öffentlichkeit verfügbar gemacht werden. Außerdem überwachen Sie mobile Anwendungen nach ihrer Veröffentlichung, um neue oder zuvor nicht erkannte Sicherheitslücken zu identifizieren und zu beheben. 

Das Dilemma mit der Anwendungssicherheit

Im Entwicklungsprozess liegt der Schwerpunkt oft darauf, eine Anwendung schnell auf den Markt zu bringen und neue Funktionen zu entwickeln, und nicht unbedingt auf der Sicherheit. Hinzu kommt, dass Unternehmen eventuell nur über ein begrenztes Budget für den Schutz ihrer mobilen Anwendungen verfügen. Darüber hinaus scannen oder testen viele Unternehmen den Code in ihren mobilen Anwendungen nicht auf Sicherheitslücken, unbeabsichtigte Nutzung oder versteckte Funktionen. 

Eine weitere Herausforderung besteht darin, dass Entwickler die zugrunde liegende Plattform, die sie nutzen, eventuell nicht kennen. Um eine mobile Anwendung richtig abzusichern, müssen Entwickler mobiler Anwendungen alle zugrunde liegenden Mechanismen kennen, die Ressourcen für mobile Anwendungen bereitstellen, und auch ihre Grenzen. 

Eine weitere Hürde bei der Absicherung mobiler Anwendungen besteht darin, dass die von den Anwendungen geforderten Berechtigungen möglicherweise zu weit gefasst sind und die Benutzer nicht daran denken, dies zu hinterfragen. Benötigt beispielsweise eine Wetter-Anwendung auf Ihrem Handy wirklich Zugriff auf die Kamera oder das Mikrofon? Wozu? Die übermäßige Berechtigungsvergabe in Anwendungen vergrößert die Angriffsfläche. Je mehr Informationen eine Anwendung sammelt, die für ihren Zweck gar nicht relevant sind, desto wahrscheinlicher ist es, dass ein Benutzer unnötigerweise potenziell sensible Daten freigibt.

Außerdem ist auch nach der Freigabe einer mobilen Anwendung für die Produktion die Arbeit nicht getan. Täglich tauchen neue Sicherheitslücken auf, und selbst bei den seriösesten Softwarebibliotheken sind Sicherheitsupdates erforderlich. Sie müssen auf dem Laufenden bleiben und mit Ihren Benutzern kommunizieren, um neue Sicherheitsprobleme schnell zu erkennen und zu beheben. Die gute Nachricht ist, dass Kenntnisse bei Anwendungssicherheit heute eine der Fertigkeiten sind, mit denen sich Entwickler auf dem Arbeitsmarkt von anderen abheben können.

Wichtige Fertigkeiten bezüglich mobiler Anwendungssicherheit

Der Sektor für die Entwicklung und Sicherheit mobiler Anwendungen wächst weiter, da mobile Geräte zum Mittelpunkt von Kommunikation und Arbeit werden. Die zunehmende Bedeutung der Cyberresilienz mobiler Geräte und Anwendungen hat die Nachfrage nach erfahrenen Ingenieuren für mobile Anwendungssicherheit erhöht. 

Die Entwicklung sicherer mobiler Anwendungen erfordert eine Reihe von Aktivitäten im Verlauf des gesamten Softwareentwicklungszyklus. Erforderlich ist die Zusammenarbeit schon bei der Konzeption der Anwendung, um Sicherheitsanforderungen bereits während der Entwicklung zu berücksichtigen ("Security by Design"-Ansatz). Erforderlich sind auch unkonventionelle Denkansätze, um Bedrohungen zu antizipieren, und vieles mehr. Wenn Sie über technisches Wissen verfügen und eine erfolgreiche Zukunft im Technologiesektor anstreben, könnte die Verbesserung Ihrer Fertigkeiten im Bereich der mobilen Anwendungssicherheit sich als sehr gute Entscheidung erweisen.

Wenn Sie gerne Aufgaben mithilfe von Software automatisieren, Sicherheitslücken und -mängel identifizieren und Code-Reviews durchführen, dann werden Sie diese Rolle sicherlich erfolgreich ausfüllen. Ingenieure für mobile Anwendungssicherheit unterstützen Entwickler mobiler Anwendungen dabei, sichere, neue mobile Anwendungen zu entwerfen, indem sie fachmännische Sicherheitsbewertungen und Code-Reviews durchführen. Zudem implementieren sie Sicherheit-Tools und -verfahren, um die bereitgestellten mobilen Anwendungen zu schützen. Es gibt zwar keine spezifischen Mindestqualifikationen für eine Laufbahn im Bereich der mobilen Anwendungssicherheit, ein technischer Hintergrund ist jedoch auf jeden Fall von Vorteil. 

Ein Ingenieur für mobile Anwendungssicherheit mit verschiedenen Symbolen für die Fertigkeiten, die in diesem Beruf notwendig sind

Ausbildung

Ein Bachelor-Abschluss oder ein Diplom in Informatik oder eine andere technische Ausbildung ist für diese Laufbahn sinnvoll.

Erfahrung

Es ist hilfreich, wenn Sie über allgemeine Programmiererfahrung und Erfahrung in der Software- oder Webentwicklung verfügen. Sie sollten versiert in der Erstellung speziell entwickelter Android- und iOS-Anwendungen sein, die notwendige, spezifische Geschäftsanforderungen enthalten. Außerdem sollten Sie die Vorschriften und Richtlinien kennen, damit Ihre speziell entwickelten Anwendungen in den Stores von Technologieunternehmen veröffentlicht und verteilt werden können.

Zertifizierungen

Es ist eine gute Idee, Zertifizierungen für diesen Bereich zu erwerben. Zertifizierungen, die sich mit dem sicheren Softwareentwicklungszyklus, der sicheren Software-Programmierung, dem Schutz von Webanwendungen und mehr befassen, ermöglichen Ihnen sich weiterzubilden und im Bereich der Anwendungssicherheit Fuß zu fassen. In der folgenden Tabelle finden Sie einige gängige Zertifizierungen für Ingenieure für mobile Anwendungssicherheit. 

Zertifizierung

Beschreibung

Certified Secure Software Lifecycle Professional (CSSLP)

Nachweis, dass Softwareexperten über das nötige Fachwissen verfügen, um Sicherheitsverfahren in jede Phase des Softwareentwicklungszyklus einzubauen

GIAC Secure Software Programmer (GSSP-.NET)

Bestätigung, dass der Inhaber der Zertifizierung die Kenntnisse, Kompetenzen und Fertigkeiten besitzt, sicheren Code zu schreiben und Sicherheitsmängel in bestehendem Code zu erkennen

GIAC Web Application Defender (GWEB)

Beleg für die nötigen Sicherheitskenntnisse für die Behebung gängiger Fehler in Webanwendungen, die zu einem Großteil von Sicherheitsproblemen führen

GIAC Mobile Device Security Analyst (GMOB)

Mit dieser Zertifizierung sind Sie darauf vorbereitet, die Sicherheit mobiler Geräte effektiv zu bewerten, Schwachstellen in mobilen Anwendungen zu identifizieren und einen Penetrationstest für mobile Geräte durchzuführen

Secure Software Practitioner (SSP)

Diese Zertifizierung vermittelt die nötigen Fertigkeiten, um sichereren Softwarecode zu schreiben, Schwachstellen zu reduzieren und das allgemeine Sicherheitsniveau der Softwareprodukte eines Unternehmens zu verbessern.

Know-how

Die Arbeit als Ingenieur für mobile Anwendungssicherheit erfordert verschiedene Fertigkeiten. Sie sollten über Entwicklungskenntnisse für Android- oder iOS-Plattformen verfügen und sich mit Konzepten für die statische und dynamische Analyse mobiler Anwendungssicherheit auskennen. Außerdem ist es sehr sinnvoll, sich mit der Protokoll- und Netzwerkanalyse auszukennen. 

Außerdem sollten Sie Erfahrung mit Authentifizierungs- und Verschlüsselungsmethoden haben, wie OAuth und die Infrastruktur für öffentliche Schlüssel (PKI). Darüber hinaus sollten Sie die Bedrohungsliste The Open Web Application Security Project (OWASP) Mobile Top 10 kennen und Bedrohungsmodelle entwickeln können. Programmiersprachenkenntnisse, Computerkenntnisse, Back-End-Computing, Design von Benutzeroberflächen (UI), Entwicklung plattformübergreifender mobiler Anwendungen und Produktmanagement sind ebenfalls wichtige Qualifikationen, die Sie mitbringen sollten. Darüber hinaus sollten Sie Spaß daran haben, sich aktiv neues Programmierwissen anzueignen, Erfahrung mit agilen Entwicklungsmethoden haben und über analytische Fähigkeiten verfügen.

Hinweis

Als "Back-End" werden die Teile einer Computeranwendung bezeichnet, die für den Betrieb erforderlich sind und auf die der Benutzer keinen Zugriff hat. Beispiele für Back-End-Prozesse sind: die Verarbeitung eingehender Anforderungen, die Ausführung von Code zur Erzeugung von HTML (HyperText Markup Language) auf dem Server und der Zugriff auf Daten aus einer Datenbank mithilfe einer Abfragesprache. 

Unternehmerische Fähigkeiten

Ein großer Teil des Erfolgs als Ingenieur für mobile Anwendungssicherheit beruht darauf, dass Sie Ihre unternehmerischen Fähigkeiten nutzen, um die Vision des Kunden zu verstehen und herauszufinden, wie Sie die gewünschten Funktionen sicher bereitstellen können. Neben Fähigkeiten im Produktmanagement, Design, Schreiben und in Kommunikation ist es für diese Rolle auch wichtig, auf Details zu achten.

Wissensabfrage

Sind Sie bereit, das Gelernte zu überprüfen? Die folgende Wissensabfrage wird nicht bewertet, sondern ist nur eine einfache Möglichkeit, sich selbst zu testen. Ziehen Sie als Erstes die Beschreibung aus der linken Spalte unter den zugehörigen Begriff auf der rechten Seite. Wenn Sie damit fertig sind, klicken Sie auf Senden, um das Ergebnis zu prüfen. Wenn Sie von vorne beginnen möchten, klicken Sie auf Zurücksetzen.

Gut gemacht!

Zusammenfassung

In diesem Modul haben wir Ihnen die mobile Anwendungslandschaft vorgestellt. Außerdem haben Sie etwas über die Verbreitung mobiler Anwendungssicherheit erfahren. Darüber hinaus wir die Aufgaben, Fertigkeiten und Qualifikationen eines Ingenieurs für mobile Anwendungssicherheit behandelt. Im nächsten Modul, Implementieren von mobiler Anwendungssicherheit, geht es darum, wie Sie mobile Anwendungssicherheit implementieren und mobile Anwendungen testen. Möchten Sie mehr über Berufe im Bereich Cybersicherheit erfahren und von Sicherheitsexperten hören? Auf der Lernwebsite zur Cybersicherheit in Trailhead werden Sie fündig.

Ressourcen

Lernen Sie weiter kostenlos!
Registrieren Sie sich für einen Account, um fortzufahren.
Registrieren Anmelden
Was ist für Sie drin?
  • Holen Sie sich personalisierte Empfehlungen für Ihre Karriereplanung
  • Erproben Sie Ihre Fähigkeiten mithilfe praktischer Aufgaben und Quizze
  • Verfolgen Sie Ihre Fortschritte nach und teilen Sie sie mit Arbeitgebern
  • Nutzen Sie Mentoren und Karrierechancen
Vorerst überspringen