Es werden umfassende Web Application Security Blackbox Penetrationstests auf die Serveranwendung gemäß Beschreibung in diesem Dokument durchgeführt.

Die Kommunikation wird entschlüsselt und mit geeigneten Testtools umfassend analysiert.

Sind an die App aufgrund ihrer Funktionalität, der Sensitivität der Daten oder des Schutzbedarfs höhere Sicherheitsanforderungen gestellt, so wird eine plattformspezifische Architekturanalyse durchgeführt. Dabei wird anhand der technischen Feinspezifikation (oder ähnlichen Beschreibungen) geprüft, ob die Webanwendung die Security-Guidelines des Herstellers beachtet, d.h. die sicherheitsgebenden Plattformeigenschaften dem Schutzbedarf angemessen auf Daten und Funktionen anwendet.

Sind an die App höhere Sicherheitsanforderungen gestellt und legen die Resultate des Penetrationstests oder der Architekturanalyse dies nahe, so wird eine Codeanalyse durchgeführt. Dabei werden im Code all die Stellen und Verarbeitungen untersucht, welche sensitive Daten und Funktionen betreffen. Insbesondere wird die sichere Datenablage von sensitiven Daten auf dem Gerät betrachtet.In speziellen Fällen mit besonderem Schutzbedarf wird eine umfassende Codeanalyse durchgeführt.

Es werden typische Bedrohungen für Smartphone-Anwendungen betrachtet und das Risiko bewertet, dem die jeweilige App ausgesetzt ist – etwa durch vorsätzliche Handlungen (z.B. Diebstahl) oder Benutzerfehler (z.B. Verlieren).