Ismet Koyun im Interview:

App-Sicherheit im Zeitalter mobiler Anwendungen

Mobile Anwendungen sind heute der zentrale Zugangspunkt zu digitalen Diensten. Warum gewinnt App-Sicherheit gerade jetzt so stark an Bedeutung?

Ismet Koyun: Immer mehr Aspekte des täglichen Lebens, aber auch immer mehr Geschäftsprozesse verlagern sich auf mobile Endgeräte – Banking, Kommunikation, Identitätsmanagement, Gesundheitsanwendungen, selbst Behördenportale. Damit werden Smartphones zu einem der wichtigsten Angriffspunkte für Kriminelle. Mobile Apps enthalten nicht nur sensible Nutzerdaten, sondern oft auch Schnittstellen zu Unternehmenssystemen. Angriffe wie Reverse Engineering, Code Injection oder Manipulation auf Rooted Devices nehmen stark zu. Viele Unternehmen unterschätzen, dass es heute nicht mehr nur um Datenschutz, sondern um den Schutz der digitalen Identität und der gesamten Business-Logik geht.

Die Entwicklung sicherer Apps ist komplex und erfordert in der Regel tiefes Security-Know-how. Wie können Unternehmen dieser Herausforderung begegnen?

Ismet Koyun: Entwicklerteams stehen unter hohem Zeitdruck. Sicherheitsfragen werden oft erst am Ende des Entwicklungsprozesses gestellt. Das ist ein strukturelles Problem. Klassische Sicherheitsintegration über Software Development Kits oder Code-Anpassungen bedeutet zusätzlichen Aufwand und Fachwissen, das nicht jedes Team hat. Gleichzeitig fordern Datenschutzgesetze wie die DSGVO oder Standards wie ISO 27001 eine nachweisbare Absicherung. Der Schlüssel liegt daher in Automatisierung und Einfachheit. Sicherheit muss von Anfang an ein selbstverständlicher, automatischer Bestandteil des Entwicklungsprozesses sein, kein nachgelagerter Schritt.

Sie sagen selbst, dass nicht jedes Entwicklungsteam die notwendigen Ressourcen und Erfahrungen hat. Ist die Antwort externe Unterstützung durch App-Schutz als „Security-as-a-Service“? Wie funktioniert so ein Ansatz?

Ismet Koyun: Die Idee ist, Sicherheit aus der Komplexität des Codes herauszulösen und als eigenständige Dienstleistung bereitzustellen. Das heißt, Entwickler müssen keine Sicherheitsbibliotheken integrieren oder App-Architekturen verändern. Stattdessen wird eine vorhandene App-Datei – etwa ein .apk oder .ipa – analysiert und automatisch gehärtet. Die Sicherheit wird gewissermaßen „außen herum“ gelegt. Dieser Zero-Code-Ansatz spart Entwicklungszeit und senkt Eintrittsbarrieren, insbesondere für kleinere Unternehmen oder Start-ups, die keinen eigenen Security-Engineer beschäftigen.

Welche Schutzebenen spielen bei moderner App-Sicherheit eine Rolle?

Ismet Koyun: Eine wirksame Sicherheitsarchitektur besteht immer aus mehreren Ebenen. Erstens gibt es den präventiven Schutz durch Code-Verschleierung, Verschlüsselung und Integritätsprüfungen. Zweitens den reaktiven Schutz, etwa durch Erkennung von Debugging, Hooking oder Emulator-Nutzung in Echtzeit. Drittens kommt die dynamische Analyse ins Spiel – also das Verhalten der App während der Laufzeit. Moderne Systeme führen automatisierte Angriffssimulationen durch, um Schwachstellen zu identifizieren. Ergänzend dazu gibt es KI-basierte Threat Detection, die Muster in Echtzeit bewertet. So entsteht ein Schutz, der kontinuierlich lernt und sich an neue Angriffsmethoden anpasst.

Sie erwähnten die dynamische Analyse. Was unterscheidet sie von einer statischen Code-Prüfung?

Ismet Koyun: Eine statische Analyse untersucht den Code, ohne ihn auszuführen – sie ist wichtig, aber begrenzt. Eine dynamische Analyse hingegen testet die App im echten Laufzeitkontext, auf physischen Geräten oder Emulatoren, und simuliert reales Angreiferverhalten. Dabei werden Schwachstellen identifiziert, die in der Theorie oft übersehen werden. KI-Agenten können das Verhalten der App auswerten, die Reaktionen der Sicherheitsmechanismen messen und so eine realistische Risikobewertung abgeben. Dieser Ansatz erreicht eine sehr hohe Genauigkeit, weil er auf tatsächlichem Verhalten basiert, nicht auf Annahmen.

Wie wichtig ist der Aspekt der Compliance bei solchen Sicherheitslösungen?

Ismet Koyun: Enorm wichtig. Compliance ist längst kein optionales Thema mehr. Unternehmen müssen nachweisen, dass sie personenbezogene Daten und digitale Identitäten aktiv schützen. In Europa sind das vor allem, wie vorhin angesprochen, DSGVO, ISO-Standards und branchenspezifische Normen wie HIPAA im Gesundheitswesen. Ein moderner App-Schutz unterstützt Unternehmen, diese Anforderungen automatisiert zu erfüllen. Das nennt man „Compliance by Design“. Es bedeutet: Sicherheitsmechanismen sind so implementiert, dass sie regulatorische Anforderungen von Anfang an abdecken.

Viele Unternehmen kämpfen mit Fachkräftemangel im Bereich IT-Security. Kann Security-as-a-Service hier tatsächlich Abhilfe schaffen?

Ismet Koyun: Ja, absolut. Der Markt für Sicherheitsexperten ist leergefegt, und besonders mittelständische Unternehmen haben Schwierigkeiten, qualifizierte Spezialisten zu finden. Security-as-a-Service ersetzt einen Teil dieser fehlenden Expertise und macht sie in automatisierten, skalierbaren Systemen nutzbar. Unternehmen profitieren damit von hochentwickelter Technologie, ohne selbst tiefes Fachwissen aufbauen zu müssen. Das ist ein Paradigmenwechsel: Sicherheit wird on-Demand verfügbar, ähnlich wie Cloud-Dienste oder Datenanalyseplattformen.

Sie betonten in der Vergangenheit immer wieder die Bedeutung digitaler Vertrauensmechanismen; Stichwort „Vertrauen ist die neue Währung“. Was genau meinen Sie damit?

Ismet Koyun: Vertrauen ist heute der zentrale Faktor in jeder digitalen Beziehung. Wenn Nutzer einer App oder einem Anbieter nicht zutrauen, dass ihre Daten sicher sind, entsteht kein langfristiges Kundenverhältnis. Sicherheit ist damit ein Wettbewerbsvorteil – sie entscheidet über Markenwahrnehmung, Kundentreue und Conversion Rates. Wer Sicherheit und Datenschutz von Anfang an mitdenkt, schafft nachhaltiges Vertrauen und senkt langfristig auch Kosten für Incident Management und Reputationsschäden.

Kann eine Lösung, die ohne Codeeingriff funktioniert, tatsächlich denselben Schutz bieten wie manuell integrierte Sicherheitsframeworks?

Ismet Koyun: Das ist eine berechtigte Frage. Der entscheidende Punkt ist, dass moderne Lösungen nicht mehr auf Signaturen oder statische Regeln setzen, sondern auf adaptive Mechanismen. Die Härte des Schutzes entsteht nicht aus der Komplexität des Codes, sondern aus der Kombination aus Analyse, Laufzeitüberwachung und Reaktion. Wenn ein Framework Bedrohungen in Echtzeit erkennt und Gegenmaßnahmen dynamisch anpasst, kann es ein sehr hohes Sicherheitsniveau erreichen – vergleichbar oder sogar besser als manuelle Integrationen, weil menschliche Fehler wegfallen.

Werfen wir einen Blick in die Zukunft. Wie wird sich das Thema mobile App-Sicherheit in den kommenden Jahren entwickeln?

Ismet Koyun: Wir werden einen weiteren Schub in Richtung Automatisierung und KI-gestützter Sicherheitsarchitekturen sehen. Manuelle Sicherheitsprüfung wird zunehmend durch autonome Systeme ersetzt, die Risiken erkennen, bewerten und abwehren können. Gleichzeitig wird der Fokus stärker auf Datenschutz und Integrität digitaler Identitäten liegen. Mobile Sicherheit wird nicht mehr nur als technische Notwendigkeit betrachtet, sondern als strategische Grundlage digitaler Geschäftsmodelle.