SICHERHEIT

Mobile-App-Sicherheit 2025: OWASP Top 10 und Schutzstrategien

8. November 2025
~14 Min. Lesezeit
Donaldas Jautžemis
Mobile-App-Sicherheit 2025

Die Sicherheit mobiler Anwendungen ist im Jahr 2025 zu einem geschäftskritischen Aspekt geworden. Die Anzahl der Cyberangriffe wächst exponentiell, und auf mobilen Geräten werden immer sensiblere Daten gespeichert - von Bankinformationen bis hin zu Gesundheitsdaten. In diesem umfassenden Leitfaden besprechen wir die OWASP Mobile Top 10 Risiken, die effektivsten Schutzstrategien und praktische Empfehlungen für Unternehmen.

Statistiken zur Mobile-App-Sicherheit 2025

75%
der Anwendungen haben mindestens eine Sicherheitslücke
4,2M
Cyberangriffe pro Tag weltweit
280K
durchschnittliche Kosten eines Datenlecks in Euro
43%
der Angriffe richten sich gegen mobile Geräte

Wichtig zu wissen

Laut IBM-Studien 2024-2025 beträgt die durchschnittliche Zeit zur Erkennung eines Datenlecks 197 Tage, und die durchschnittliche Zeit zur Eindämmung weitere 69 Tage. Während dieser Zeit können Angreifer enormen Schaden anrichten.

OWASP Mobile Top 10 (2024-2025)

OWASP (Open Web Application Security Project) ist eine internationale Non-Profit-Organisation, die die wichtigsten Sicherheitsstandards für mobile Anwendungen erstellt und veröffentlicht. Die Mobile Top 10 Liste für 2024-2025 umfasst folgende kritische Risiken:

M1: Unsachgemäße Verwendung von Anmeldedaten

Hartcodierte Passwörter, API-Schlüssel oder kryptografische Schlüssel im Anwendungscode. Angreifer können diese Daten leicht durch Reverse Engineering extrahieren.

M2: Unsichere Datenspeicherung

Sensible Daten werden unverschlüsselt im Gerätespeicher, in Datenbanken oder gemeinsamen Einstellungen (SharedPreferences, UserDefaults) gespeichert.

M3: Unsichere Authentifizierung/Autorisierung

Schwache Passwortrichtlinien, fehlende Multi-Faktor-Authentifizierung, unsachgemäße Sitzungsverwaltung oder fehlerhafte Zugriffskontrolle.

M4: Unzureichende Eingabe-/Ausgabevalidierung

SQL-Injektionen, XSS-Angriffe und andere Schwachstellen, die durch unsachgemäße Überprüfung von Benutzereingaben entstehen.

M5: Unsichere Kommunikation

Datenübertragung über unverschlüsselte Kanäle (HTTP statt HTTPS), unsachgemäße SSL/TLS-Zertifikatvalidierung.

M6: Unzureichende Datenschutzkontrolle

Übermäßige Sammlung personenbezogener Daten, fehlende Einwilligungsmechanismen, Nichteinhaltung der DSGVO-Anforderungen.

M7: Unzureichender Schutz des Binärcodes

Fehlende Code-Obfuskation, Tamper Detection und Anti-Debugging-Schutz, die eine einfache Analyse der Anwendung ermöglichen.

M8: Fehlerhafte Sicherheitskonfiguration

Unsachgemäß konfigurierte Sicherheitseinstellungen, Debug-Modi in der Produktionsversion, zu weitreichende Dateizugriffsrechte.

M9: Unsichere Datenspeicherung

Unsicher gespeicherte Backups, Logs mit sensiblen Informationen, temporäre Dateien mit vertraulichen Daten.

M10: Unzureichende Kryptografie

Schwache Verschlüsselungsalgorithmen, unsachgemäße Schlüsselverwaltung, veraltete kryptografische Bibliotheken.

Authentifizierungs- und Autorisierungsstrategien

Multi-Faktor-Authentifizierung (MFA)

MFA ist für sichere mobile Anwendungen unerlässlich. Empfohlene Authentifizierungsfaktoren:

Faktor Typ Sicherheitsstufe Benutzererfahrung
Passwort Wissen Mittel Standard
SMS-Code Besitz Mittel Gut
TOTP (Authenticator) Besitz Hoch Gut
Fingerabdruck Biometrie Hoch Ausgezeichnet
Face ID Biometrie Hoch Ausgezeichnet
Hardware-Schlüssel (FIDO2) Besitz Sehr hoch Mittel

OAuth 2.0 und PKCE

Für mobile Anwendungen wird die Verwendung von OAuth 2.0 mit der PKCE-Erweiterung (Proof Key for Code Exchange) empfohlen:

  • Authorization Code Flow + PKCE - die sicherste Methode für mobile Anwendungen
  • Kurze Access Tokens - 15-60 Minuten Gültigkeitsdauer
  • Refresh Tokens - sichere Token-Erneuerung ohne erneute Anmeldung
  • Token Rotation - neuer Refresh Token bei jeder Erneuerung

Best Practice: Token-Speicherung

  • iOS: Verwenden Sie Keychain Services mit kSecAttrAccessibleWhenUnlockedThisDeviceOnly
  • Android: Verwenden Sie EncryptedSharedPreferences oder Android Keystore
  • Niemals Tokens in einfachen SharedPreferences oder UserDefaults speichern

Datenverschlüsselung

Verschlüsselung im Ruhezustand (At Rest)

Alle sensiblen Daten auf dem Gerät müssen verschlüsselt werden:

Algorithmus Verwendung Schlüssellänge Empfehlung
AES-256-GCM Datenverschlüsselung 256 Bit Empfohlen
ChaCha20-Poly1305 Mobile Geräte 256 Bit Empfohlen
RSA-2048+ Schlüsselaustausch 2048+ Bit Geeignet
PBKDF2/Argon2 Passwort-Hashing - Empfohlen

Verschlüsselung während der Übertragung (In Transit)

  • TLS 1.3 - das neueste und sicherste Transportprotokoll
  • Certificate Pinning - Schutz vor MITM-Angriffen
  • HSTS - obligatorische HTTPS-Verwendung
  • Perfect Forward Secrecy - jede Sitzung mit einzigartigem Schlüssel

SSL/TLS Sicherheits-Checkliste

  • TLS 1.2 oder 1.3 verwenden (nicht älter)
  • Unsichere Cipher Suites deaktivieren (RC4, DES, 3DES)
  • Certificate Pinning implementieren
  • Zertifikat-Hostname validieren
  • Keine selbstsignierten Zertifikate in der Produktion verwenden
  • Zertifikatsgültigkeit prüfen

DSGVO-Konformität in mobilen Anwendungen

Für Unternehmen in der EU ist die DSGVO-Konformität verpflichtend. Mobile Anwendungen müssen folgende Anforderungen erfüllen:

Grundlegende DSGVO-Anforderungen

Anforderung Beschreibung Umsetzung
Einwilligung Klare und freiwillige Einwilligung zur Datenerhebung Opt-in-Checkboxen, granulare Einwilligungsverwaltung
Datenminimierung Nur notwendige Daten erheben Jedes erhobene Datenfeld überprüfen
Auskunftsrecht Benutzer kann eine Kopie seiner Daten erhalten Datenexportfunktion im JSON/PDF-Format
Recht auf Vergessenwerden Benutzer kann Datenlöschung verlangen Funktion zur Konto- und Datenlöschung
Datenübertragbarkeit Datenübertragung zu anderem Anbieter Standardisiertes Exportformat
Meldung von Verstößen Meldung innerhalb von 72 Stunden bei Verstößen Incident-Management-Verfahren

DSGVO-Bußgelder

Bei DSGVO-Verstößen können Bußgelder bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes (je nachdem, was höher ist) verhängt werden. 2024 überstieg die Summe der in der EU verhängten Bußgelder 2,5 Milliarden Euro.

Datenschutzeinstellungen in der Anwendung

  • Datenschutz-Dashboard - zentraler Ort für alle Datenschutzeinstellungen
  • Granulare Einwilligung - separate Einwilligung für jeden Datentyp
  • Widerruf der Einwilligung - einfache Möglichkeit, die Einwilligung jederzeit zu widerrufen
  • Datenübersicht - Möglichkeit zu sehen, welche Daten gespeichert werden
  • Export und Löschung - klare Schaltflächen für diese Funktionen

Sicherheitstests

Testmethoden

Methode Beschreibung Kosten Empfohlene Häufigkeit
SAST Statische Code-Analyse 200-500 EUR Mit jedem Release
DAST Dynamische Anwendungsanalyse 300-800 EUR Monatlich
Penetrationstest Manuelles Sicherheitsaudit 1.500-5.000 EUR Vierteljährlich/Halbjährlich
Code-Review Sicherheitsexperten-Code-Analyse 1.000-3.000 EUR Vor großen Updates
Bug Bounty Belohnung für gefundene Schwachstellen Variabel Dauerhaftes Programm

Automatisierte Tools

  • MobSF - Mobile Security Framework (kostenlos)
  • OWASP ZAP - automatisiertes Sicherheitsscanning
  • Burp Suite - professionelles Sicherheitstesttool
  • Frida - dynamische Instrumentierung und Analyse
  • objection - Runtime-Analyse mobiler Anwendungen

Schutz vor Reverse Engineering

Code-Obfuskation

Obfuskation erschwert die Analyse der Anwendung und Reverse Engineering:

  • Android: ProGuard (Basis), R8 (empfohlen), DexGuard (professionell)
  • iOS: SwiftShield, iXGuard, Arxan
  • Cross-Platform: jscrambler (React Native, Flutter)

Runtime-Schutz

Runtime-Sicherheits-Checkliste

  • Root/Jailbreak-Erkennung
  • Debugger-Erkennung
  • Emulator-Erkennung
  • Tamper Detection (Erkennung von Code-Modifikationen)
  • SSL Certificate Pinning
  • Anti-Hooking-Schutz
  • Integrity Checks (Überprüfung der Anwendungsintegrität)

Sicherheitskosten

Dienstleistung Basispreis Durchschnittspreis Enterprise
Sicherheitsaudit 500 EUR 1.500-3.000 EUR 5.000+ EUR
Penetrationstest 1.000 EUR 2.500-4.000 EUR 8.000+ EUR
DSGVO-Konformitätsaudit 800 EUR 2.000-3.500 EUR 6.000+ EUR
Sicherheitsberatung (Std.) 50 EUR 80-120 EUR 150+ EUR
Implementierung von Sicherheitsfunktionen 1.000 EUR 3.000-8.000 EUR 15.000+ EUR

Praktische Empfehlungen

Entwicklungsphase

  1. Threat Modeling - potenzielle Bedrohungen bereits vor dem Codieren identifizieren
  2. Sichere Codierung - OWASP-Richtlinien für sichere Codierung verwenden
  3. Abhängigkeitsprüfung - regelmäßig Bibliotheksschwachstellen prüfen
  4. Code-Reviews - Sicherheitsaspekt in den Code-Review-Prozess einbeziehen
  5. CI/CD-Sicherheit - SAST-Tools in die Build-Pipeline integrieren

Produktionsphase

  1. Monitoring - anomale Benutzerverhaltensmuster beobachten
  2. Incident Management - klaren Plan für Sicherheitsvorfälle haben
  3. Regelmäßige Updates - schnell auf neue Schwachstellen reagieren
  4. Backup-Strategie - regelmäßige Backups mit Tests
  5. Sicherheitsschulungen - Team regelmäßig über neue Bedrohungen schulen

Häufig gestellte Fragen (FAQ)

Was ist OWASP Mobile Top 10?
OWASP Mobile Top 10 ist eine Liste der 10 kritischsten Sicherheitsrisiken für mobile Anwendungen, die von der OWASP-Organisation (Open Web Application Security Project) erstellt wird. Die Version 2024-2025 umfasst Risiken wie unsichere Datenspeicherung, unsichere Authentifizierung, unsichere Kommunikation, unzureichende Kryptografie und andere.
Was kostet ein Sicherheitsaudit für mobile Anwendungen?
Die Kosten für Sicherheitsaudits mobiler Anwendungen variieren von 500 EUR für automatisierte Basistests bis zu 5.000 EUR+ für umfassende Penetrationstests und Code-Reviews. Der durchschnittliche Preis für ein Standard-Audit liegt bei 1.500-3.000 EUR.
Wie gewährleistet man DSGVO-Konformität in einer mobilen Anwendung?
Die DSGVO-Konformität in einer mobilen Anwendung wird gewährleistet durch: klare Einwilligung vor der Datenerhebung, Datenminimierung, sichere Datenverschlüsselung, Recht auf Vergessenwerden (Datenlöschung), Datenschutzrichtlinie in der Anwendung und Verfahren zur Meldung von Datenschutzverletzungen.
Welches Authentifizierungssystem ist am sichersten für mobile Anwendungen?
Das sicherste Authentifizierungssystem für mobile Anwendungen ist die Multi-Faktor-Authentifizierung (MFA), kombiniert mit biometrischen Methoden (Fingerabdruck, Face ID). Empfohlen wird die Verwendung von OAuth 2.0 mit PKCE, JWT-Tokens mit kurzer Gültigkeitsdauer und sichere Token-Speicherung in Keychain (iOS) oder Keystore (Android).
Wie schützt man eine mobile Anwendung vor Reverse Engineering?
Zum Schutz vor Reverse Engineering werden verwendet: Code-Obfuskation (ProGuard Android, SwiftShield iOS), Tamper-Detection-Mechanismen, Root/Jailbreak-Erkennung, SSL-Pinning, Verlagerung kritischer Logik auf den Server und regelmäßige Sicherheitsaudits. Es ist wichtig zu beachten, dass 100%iger Schutz nicht möglich ist.
Müssen alle Daten in einer mobilen Anwendung verschlüsselt werden?
Es müssen sensible Daten verschlüsselt werden: Benutzeranmeldedaten, personenbezogene Daten, Zahlungsinformationen, Gesundheitsdaten und alle Informationen, die unter die DSGVO fallen. Empfohlen wird AES-256-Verschlüsselung für Daten im Ruhezustand und TLS 1.3 für die Datenübertragung.

Fazit

Die Sicherheit mobiler Anwendungen ist im Jahr 2025 kein Luxus, sondern eine Notwendigkeit. Die steigende Anzahl von Cyberangriffen, verschärfte DSGVO-Anforderungen und wachsende Benutzererwartungen zwingen Unternehmen, von Beginn der Anwendungsentwicklung an in Sicherheit zu investieren.

Wichtigste Empfehlungen für Unternehmen:

  • Sicherheit von Anfang an integrieren - "Security by Design"-Prinzip
  • OWASP Mobile Top 10 verwenden als Checkliste
  • In regelmäßige Tests investieren - mindestens vierteljährlich
  • DSGVO-Konformität sicherstellen - es geht nicht nur um Bußgelder, sondern auch um Reputation
  • Das Team schulen - Sicherheit beginnt bei den Menschen

Sicherheit ist kein einmaliges Projekt - es ist ein kontinuierlicher Prozess. Beginnen Sie mit einem Sicherheitsaudit und verbessern Sie schrittweise den Schutz Ihrer Anwendung.

Benötigen Sie ein professionelles Sicherheitsaudit?

Kontaktieren Sie uns für eine kostenlose Beratung - wir bewerten den Sicherheitsstatus Ihrer Anwendung und schlagen die optimale Lösung vor.

Kostenlose Beratung erhalten