Aus Fehlern lernen, um bessere Software zu entwickeln

Nicht einmal zwei Jahre nachdem Google das Android-Betriebssystem vorgestellt hatte, tauchte mit Android.Trojan.FakePlayer.A die erste Malware für mobile Endgeräte auf.  Damit war klar: Mobilgeräte benötigen den gleichen Schutz, wie private PCs oder Unternehmensnetzwerke. Nur wenige Monate später stellte G DATA auf der CeBIT eine erste Android-Sicherheitslösung vor. Möglich war dies, weil sich G DATA bereits in einem Forschungsprojekt zum Thema Android Sicherheit engagiert hatte. Die Mobile-Expertennutzten im Folgeschritt dieses Wissen, um eine erste Version der Mobile Security zu erstellen. Die Lösung basierte - genauso wie Security Software für PCs und Netzwerke - auf Malware-Signaturen, die regelmäßig aktualisiert wurden. „Einer großer Teil der Arbeit erfolgte zu dieser Zeit noch manuell. Updates erhielten die Kunden zunächst ein- bis zweimal pro Tag, sagt Stefan Decker, Entwickler im Team Mobile.

Mit der stetig zunehmenden Zahl von Schadsoftware folgte schon bald eine Automatisierung bei der Erkennung, um das Team zu entlasten. Aus verschiedenen Faktoren mit unterschiedlicher Gewichtung errechnete das System einen Wert. Lag dieser über einem definierten Schwellwert, galt die App als bösartig. Eine Weiterentwicklung dieser Logiken kommt auch heute noch bei G DATA Mobile Security Android zum Einsatz. Die Zahl der Erkennungen stieg und die Intervalle zwischen Signatur-Updates verkürzten sich. Zum Lernprozess gehörten auch Falscherkennungen. Hier leistete das Feedback von Kunden und vom Support wertvolle Hilfe, um weitere Verbesserungen an der Erkennung vorzunehmen. Ein Beispiel: Der Google-Play-Store-App landete auf der Liste der schädlichen Anwendungen. Der Grund dafür war, dass die Analyst*innen immer neue Erkennungsmethoden ausprobiert haben und eine davon zielte ausschließlich auf die Berechtigungen von Apps ab - denn weitreichende Genehmigungen sind auch heute noch ein Hinweis für potenziell gefährliche Software. Allerdings darf auch die App des offiziellen Play Stores so gut wie alles, was dann zu einer falschen Erkennung führte. Der Fehler wurde schnell korrigiert und hatte einen nachhaltigen Lerneffekt für die weitere Entwicklung.

Waren zunächst Smartphones noch nicht „always on“ und „always connected“, erfolgte der Download von Apps noch via PC, mit dem Nutzende ihr Smartphone verbinden mussten. Über diesen Weg erhielten Anwender*innen auch die Updates für ihre Antiviren-Software – in der Regel einmal pro Tag. Mit der ständigen Internetverbindung veränderten sich auch die Anforderungen an eine Schutzlösung für Mobilgeräte. Daher integrierten die Entwickler im April 2014 eine eigene G DATA Mobile-Cloud-Lösung in die Security-App. Der größte Vorteil: Eine Aktualisierung im Minutentakt und damit ein besserer Schutz vor Angriffen. Eine neue Erkennung steht also allen Kunden unmittelbar zur Verfügung. Wie sich die Bedrohungslage für mobile Endgeräte in den ersten Jahren verändert hat, belegte zu der Zeit auch der Fund von vorinstallierter Malware auf neuen Android-Geräten. Eine Gefahr, die auch heute noch existiert. Damals führte sie zu einem veränderten Verständnis bei der Erkennung von Schadsoftware, denn vorher galten vorinstallierte System-Apps als unbedenklich.

Mit einem neuen Update im April 2017 kam erstmals eine neue Engine zum Einsatz - Die neue Technologie versetzte die Analysten in die Lage, einen detaillierteren Blick auf verdächtige Apps werfen zu können, um neben der äußeren Hülle auch einzelne Dateien zu analysieren. Die Entwickler hatten die Art und Weise, Schaddateien zu prüfen, überarbeitet und auch neue Abläufe in den Prozessen etabliert. Insgesamt verbesserte sich die Erkennungsleistung erneut und die Stabilität stieg deutlich. „Einen ersten Beleg über die Leistungsfähigkeit der neuen Technologie lieferte bereits der AV-Test mit einer deutlich niedrigeren Zahl an Nichterkennungen im einstelligen Bereich. Auch in den folgenden Tests bis zur aktuellsten Untersuchung des unabhängigen Forschungsinstituts überzeugten die Lösungen von G DATA mit hervorragenden Ergebnissen”, sagt Stefan Decker.

Im nächsten Schritt passten die Entwickler die Klassifizierungsverfahren für Schadsoftware an und veränderten den Mechanismus und die Methode. Das führte zu einer schnelleren Erkennung von neuen Bedrohungen und erhöhte das Tempo von Updates für die Cloud. Kunden waren so wesentlich besser geschützt. Den letzten Schritt markierte die neueste Version der Schutzlösung. Hier lag der Fokus auf einer Überarbeitung der Benutzeroberfläche, um den veränderten Bedürfnissen der Anwender*innen gerecht zu werden.  Direkt auf der Startseite erhalten Nutzer einen einfachen und vollständigen Überblick über den aktuellen Sicherheitsstatus. Die persönliche Konfiguration einzelner Bereiche erfolgt mit nur wenigen Klicks.

Auch auf technologischer Ebene nahmen die Entwickelnden Anpassungen vor. So schützt die App jetzt noch besser vor Stalkerware. So unterstützt sie die Anwendenden mit einem Dialog bei der Entscheidungsfindung und der Frage, was als Nächstes zu tun ist. Stalkerware bietet die Möglichkeit, über mobile Endgeräte in das Privatleben einer Person einzudringen und wird als Werkzeug für Missbrauch in Fällen von häuslicher Gewalt und Stalking eingesetzt. Diese Programme laufen versteckt im Hintergrund ohne das Wissen oder die Zustimmung eines Opfers. Im Rahmen der regelmäßigen App-Scans prüft die Security-App die Eigenschaften der installierten Applikationen. Sollten mehrere davon die Charakteristika von Stalkerware erfüllen, wie etwa umfangreiche Zugriffe auf Nachrichten oder Daten, dann erhalten Nutzer*innen einen entsprechenden Warnhinweis.

Die Erfolgsgeschichte der Mobile Security hat aber auch noch andere Gründe, die sich auf der Teamseite und der Art der Zusammenarbeit offenbaren. Schon früh hatten sich die Verantwortlichen dazu entschieden, agile Arbeitsweisen zu nutzen. „Die Entscheidung hat uns sehr geholfen, weil wir besser auf aktuelle Herausforderungen unserer Kunden reagieren können, um beispielsweise Erkennungen schneller anzupassen,“ sagt Stefan Decker „Intern haben wir dank der Retrospektiven als festem Bestandteil agiler Arbeitsprozesse durch kritisches Hinterfragen die Abläufe auch stetig besser machen können.”  Google entwickelt das Android-Betriebssystem stetig weiter, sodass Anpassungen erforderlich sind, wenn beispielsweise eine Schnittstelle abgekündigt wird. Malware entwickelt sich ebenfalls weiter, was ständige Aktualisierungen in den Erkennungstechnologien notwendig macht, um aktuelle Angriffsversuche abzuwehren.

Regelmäßige Tests sind ein wesentlicher Bestandteil des Entwicklungsprozesses. Die Security-App wird etwa auf verschiedenen Geräten mit unterschiedlichen Android Versionen getestet. Die beteiligten Entwickler*innen nutzen auf ihren Privat-Geräten die BETA Version und können so die Lösung auf Herz und Nieren testen. Dazu gehört auch, dass das Feedback von Nutzer*innen ernst genommen wird. Hier erhält das Mobile Team sehr schnell eine Rückmeldung vom Support, wenn etwas nicht so funktioniert, wie es soll. Ein weiterer Aspekt ist eine lebendige „Post-Mortem Kultur. Zwischenfälle wie etwa Falscherkennungen analysiert das Team umgehend, sodass diese möglichst nicht noch einmal auftreten. „Es geht darum, aus Fehlern zu lernen und gemeinschaftlich besser zu werden“, sagt Stefan Decker.

Ein weiterer Baustein der Qualitätssicherung ist die Malware-Information-Initiative, kurz MII. Kunden erklären sich durch einen Tab in der App bereit, bestimmte Daten den G DATA Analysten zu überlassen. Dabei erhalten die Analysten Informationen zu den benutzten Gerätemodellen, den App-Namen, den Hash einer erkannten Schadsoftware. Persönliche Benutzerdaten oder Einstellungen wie Telefonnummern werden in dem System nicht übertragen und analysiert. Auf diesem Weg helfen Kund*innen durch ihre Daten bei einer Erkennung, sodass sich die Erkennungsleistung verbessern lässt.

Die Frage, warum die Android-Schutzlösung von G DATA seit 2017 hervorragende Testergebnisse liefert, lässt sich nicht in einem Satz beantworten. Viele kleine Puzzleteile haben in den vergangenen Jahren dazu beigetragen, dass das Mobile Team immer wieder die richtigen Stellschrauben bedient hat, um die Schutzleistung der App zu verbessern sowie als Team besser zusammenzuarbeiten.