Anzeige

Budget

Sicherheitsabteilungen jonglieren heutzutage mit einer Vielzahl von Initiativen und Projekten und jeder kämpft um seinen Teil des Budgets. Dabei kommt Anwendungssicherheit leider oft noch zu kurz.

Das ist besonders besorgniserregend, wenn man sich die Ergebnisse des neuesten „State of Software Security Report“ von Veracode vor Augen führt: Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf. Drei Monate nach der Entdeckung einer Schwachstelle haben nicht einmal die Hälfte der Unternehmen es geschafft, diese zu beheben. Und besonders alarmierend ist außerdem, dass Jahr für Jahr die gleichen Schwachstellen im Code auftauchen. Um die Anwendungssicherheit zu optimieren, bedarf es allerdings entsprechender finanzieller Investition. Die fünf folgenden Punkte helfen, ein höheres AppSec-Budget einzufordern.

1. Einen konkreten Anlass aufzeigen

Der nächstliegende Anlass mehr Budget für Anwendungssicherheit einzufordern, ist natürlich eine Sicherheitslücke selbst – entweder im eigenen Unternehmen oder ein anderer öffentlicher Fall. Konkrete Anlässe lassen sich allerdings auch in anderen Kontexten finden, wie zum Beispiel der Europäischen Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Die DSGVO stellt neue Sicherheitsansprüche an Unternehmen und eine potenzielle Nichteinhaltung kann zu hohen Strafen führen. Ein weiterer Anlass wäre schlichtweg ein Kunde, der sich gezielt nach der Sicherheit der Software erkundigt. Software-Einkäufer sind sich zunehmend über die vielen Sicherheitsrisiken bewusst und achten umso genauer auf hohe Sicherheitsniveaus der angebotenen Software. In einer neuen Studie in Zusammenarbeit mit IDG hat Veracode herausgefunden, dass 96 Prozent aller Software- und IT-Einkäufer sich im Zweifel immer für den Anbieter entscheiden, der in unabhängigen Tests als „sicher“ eingestuft wurde. Ein geplatztes Geschäft aufgrund mangelnder Sicherheitszertifizierung wäre also durchaus ein konkreter Anlass für die Aufstockung des AppSec-Budgets.

2. Ausblick in die Zukunft geben

Eine klare, zukunftsorientierte Roadmap für das eigene AppSec-Programm zu entwickeln ist nicht nur ausschlaggebend für den Erfolg des Programms, sondern auch für Budget-Entscheidungen. Neben Glaubwürdigkeit verleiht eine durchdachte Roadmap Außenstehenden auch einen Einblick in die tatsächlichen Auswirkungen, die ein AppSec-Programm mit sich bringt – Risikominimierung und schnelle Fehlerbehebung. Eine Investition in Sicherheits-Schulungen für Entwickler erhöht beispielsweise die Eigenverantwortung und verringert langfristig die Belastung der Sicherheitsteams.

3. Benchmarks aufzeigen

Überzeugungsarbeit kann außerdem durch das Aufzeigen von Benchmarks geleistet werden. Das eigene Sicherheitsniveau direkt mit dem anderer Unternehmen zu vergleichen, hilft, ein generelles Verständnis für die Effektivität des eigenen Sicherheitsprogramms zu vermitteln. Ein schlechteres Abschneiden ist ein relativ selbsterklärendes Argument für mehr AppSec-Budget. Sollte das eigene Sicherheitsprogramm im Vergleich besser abschneiden, ist das ein guter Ausgangspunkt um noch ambitioniertere Projekte einzuleiten und die anführende Position damit beizubehalten. Als Benchmark-Richtlinie eignet sich beispielsweise der SOSS-Report oder das OpenSAMM Framework.

4. Das Publikum kennen

Eine der häufigsten Ursachen für das Scheitern von Unternehmens-Initiativen ist, dass die Initiatoren mit den falschen Informationen an die Entscheidungsträger herantreten. Ein CFO wird nicht viel mit der Information „Wir haben die Anzahl unserer SQL-Injections um 30 Prozent erniedrigt“ anfangen können. Für den CFO müssen diese Werte in Umsatzzahlen, oder zumindest Risikoeinschätzungen, übersetzt werden. Hilfreich wären also Formulierungen wie „Das AppSec-Programm wird die Anzahl von Datenlecks um X Prozent reduzieren“ oder „Durch das AppSec-Programm sparen wir uns X Prozent der Kosten, die durch das Beheben von Schwachstellen anfallen“.

5. Prioritäten setzen

Ein ganzheitliches AppSec-Programm ist umfangreich und beinhaltet viele unterschiedliche Komponenten, in die investiert werden muss. Sicherheitsabteilungen müssen sich im Klaren sein, wo ihre „Must‘s“, „Should‘s“ und „Could‘s“ liegen und Stakeholdern dann entsprechende Optionen aufzeigen. Welche Aspekte des Programms sind unentbehrlich? An welchen Stellen ist Raum für Verhandlung? Und welche Aspekte könnte man nach einigen Monaten des ersten Aufrollens des Programms nochmals neu evaluieren? Oberste Priorität sollten in jedem Falle Compliance-Regulationen sein. Ein typisches „Should“ wären Investitionen in neue Testing- bzw. Scanning-Techniken und ein „Could“ wären weiterführende Trainings für Sicherheitsteams.

Um mehr Budget für ein umfangreiches Anwendungssicherheitsprogramm herauszuholen, bedarf es also ein paar Tricks. Was sich allerdings durch jeden der fünf Punkte zieht, ist der Gedanke einer Vision. Sicherheitsteams müssen genau wissen, wie ihr AppSec-Programm aussehen soll, was sie dafür brauchen und inwiefern die richtige Applikationssicherheitsstrategie in der Zukunft zum Unternehmenserfolg beitragen wird.

www.veracode.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Home Office

Vier Herausforderungen bei der Softwareverteilung in Homeoffice-Zeiten

Das Ausrollen von Software, Updates und Patches stellt viele Unternehmen aktuell vor Probleme, weil sie nur eingeschränkt auf Rechner von Mitarbeitern im Homeoffice zugreifen können oder das Datenvolumen ihre Infrastruktur überfordert.
Kubernetes

Zerto stellt Beta-Version für Kubernetes vor

Zerto, Anbieter von Cloud-Datenmanagement und -schutz, kündigt das Beta-Programm für Kubernetes (Z4K) an. Z4K ist eine Erweiterung der Zerto-Plattform zur Unterstützung Cloud-nativer Anwendungen der nächsten Generation.
Dropbox

Dropbox enthüllt neue Features für virtuelle Teams

Dropbox hat die neueste Version seiner digitalen Arbeitsbereiche für die Zusammenarbeit, Dropbox Spaces, zusätzlich zu vielen neuen Features veröffentlicht, die Teams beim Organisieren von Inhalten und Zusammenarbeiten an jedem Standort unterstützen.

Die 3 Anforderungen kleiner Unternehmen an Unternehmenssoftware

Software ist für Unternehmen eines der wichtigsten Arbeitsmittel der heutigen Zeit: Mit ihrer Hilfe werden Unternehmensprozesse geplant, ausgeführt, ausgewertet und optimiert. Das würde auch oft kleinen Unternehmen helfen, obwohl diese das oft noch nicht…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!