Der Großteil der Dialoge, die Nutzer von Apps auf dem Smartphone um ihre Zustimmung zum Datensammeln bitten, enthält mindestens ein Dark Pattern – also ein manipulatives Benutzerschnittstellen-Design. Das ist eines der Ergebnisse einer großangelegten Studie zu iOS- und Android-Apps, die beim diesjährigen German OWASP Day erstmals vorgestellt wird. Diese Dialoge sind beispielsweise so programmiert, dass der auffälligste Button die Zustimmung zur Datensammlung enthält. Der Benutzer – bereits entnervt, weil er die Ablehnungsfunktion nicht schnell genug findet – stimmt dann oft einer Datensammlung und Weitergabe seiner Daten zu.

Auch stellt die Studie fest, dass einige Mobilanwendungen den Nutzern nur scheinbar eine Wahl anbieten: lehnen sie das Datensammeln ab, wird die App beendet. Die Autoren rund um Simon Koch, Doktorand am Institut für Anwendungssicherheit an der Technischen Universität Braunschweig, stellen die Designentscheidungen solcher Datenschutzdialoge und die gängigsten Dark Patterns vor. Die Studie steht bereits online zum Download. In ihrem Vortrag beim diesjährigen German OWASP Day zeigen die Autoren zudem, wie tief Apps bisweilen in die Privatsphäre von Nutzern eingreifen.

Praktische Anleitungen für das Supply-Chain-Problem

Ein weiteres Highlight ist der Vortrag zu Risiken in der Software-Supply-Chain. Der Referent Stefan Kaps, Leiter der Softwareentwicklung im Bundesamt für Soziale Sicherung und Gründer der Java User Group Bonn, resümiert darin die Erkenntnisse und Lehren aus der Log4j-Schwachstelle.

Er zeigt außerdem, mit welchen Spezifikationen, Standards und Tools Entwickler einen Beipackzettel für ihre Software erstellen und diese Aktion in den Build- oder Deploy-Prozess integrieren können (DevSecOps). Auch stellt er ein Werkzeug vor, mit dem man diese Informationen aus diversen Produkten an einer zentralen Stelle auf Verwundbarkeiten hin überprüfen kann, und demonstriert, wie ein solches Tool bei der kontinuierlichen Software Composition Analysis (SCA) unterstützt, um Risiken in der Software Supply Chain frühzeitig zu identifizieren.

Unabhängig und nicht profitorientiert

Der diesjährige German OWASP Day (GOD 2023) findet am 31. Mai 2023 an der Frankfurt School of Finance and Management in Frankfurt am Main statt. OWASP steht für Open Worldwide Application Security Project und ist eine Non-Profit-Organisation, die die Anwendungssicherheit verbessern will. Die Ehrenamtlichen des Projekts veröffentlichen regelmäßig De-facto-Standards wie die OWASP Top 10 oder den Web Security Testing Guide (WSTG).

Die deutsche Community des German Chapter organisiert seit vielen Jahren eine jährliche unabhängige und nicht-kommerzielle Konferenz für Sicherheitsexperten, Entwickler, IT-Sicherheitsbeauftragte und andere IT-Professionals. Bezahlte Vorträge durch die Sponsoren gibt es nicht.

(ur)