Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Budget

Sicherheitsabteilungen jonglieren heutzutage mit einer Vielzahl von Initiativen und Projekten und jeder kämpft um seinen Teil des Budgets. Dabei kommt Anwendungssicherheit leider oft noch zu kurz.

Das ist besonders besorgniserregend, wenn man sich die Ergebnisse des neuesten „State of Software Security Report“ von Veracode vor Augen führt: Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf. Drei Monate nach der Entdeckung einer Schwachstelle haben nicht einmal die Hälfte der Unternehmen es geschafft, diese zu beheben. Und besonders alarmierend ist außerdem, dass Jahr für Jahr die gleichen Schwachstellen im Code auftauchen. Um die Anwendungssicherheit zu optimieren, bedarf es allerdings entsprechender finanzieller Investition. Die fünf folgenden Punkte helfen, ein höheres AppSec-Budget einzufordern.

1. Einen konkreten Anlass aufzeigen

Der nächstliegende Anlass mehr Budget für Anwendungssicherheit einzufordern, ist natürlich eine Sicherheitslücke selbst – entweder im eigenen Unternehmen oder ein anderer öffentlicher Fall. Konkrete Anlässe lassen sich allerdings auch in anderen Kontexten finden, wie zum Beispiel der Europäischen Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Die DSGVO stellt neue Sicherheitsansprüche an Unternehmen und eine potenzielle Nichteinhaltung kann zu hohen Strafen führen. Ein weiterer Anlass wäre schlichtweg ein Kunde, der sich gezielt nach der Sicherheit der Software erkundigt. Software-Einkäufer sind sich zunehmend über die vielen Sicherheitsrisiken bewusst und achten umso genauer auf hohe Sicherheitsniveaus der angebotenen Software. In einer neuen Studie in Zusammenarbeit mit IDG hat Veracode herausgefunden, dass 96 Prozent aller Software- und IT-Einkäufer sich im Zweifel immer für den Anbieter entscheiden, der in unabhängigen Tests als „sicher“ eingestuft wurde. Ein geplatztes Geschäft aufgrund mangelnder Sicherheitszertifizierung wäre also durchaus ein konkreter Anlass für die Aufstockung des AppSec-Budgets.

2. Ausblick in die Zukunft geben

Eine klare, zukunftsorientierte Roadmap für das eigene AppSec-Programm zu entwickeln ist nicht nur ausschlaggebend für den Erfolg des Programms, sondern auch für Budget-Entscheidungen. Neben Glaubwürdigkeit verleiht eine durchdachte Roadmap Außenstehenden auch einen Einblick in die tatsächlichen Auswirkungen, die ein AppSec-Programm mit sich bringt – Risikominimierung und schnelle Fehlerbehebung. Eine Investition in Sicherheits-Schulungen für Entwickler erhöht beispielsweise die Eigenverantwortung und verringert langfristig die Belastung der Sicherheitsteams.

3. Benchmarks aufzeigen

Überzeugungsarbeit kann außerdem durch das Aufzeigen von Benchmarks geleistet werden. Das eigene Sicherheitsniveau direkt mit dem anderer Unternehmen zu vergleichen, hilft, ein generelles Verständnis für die Effektivität des eigenen Sicherheitsprogramms zu vermitteln. Ein schlechteres Abschneiden ist ein relativ selbsterklärendes Argument für mehr AppSec-Budget. Sollte das eigene Sicherheitsprogramm im Vergleich besser abschneiden, ist das ein guter Ausgangspunkt um noch ambitioniertere Projekte einzuleiten und die anführende Position damit beizubehalten. Als Benchmark-Richtlinie eignet sich beispielsweise der SOSS-Report oder das OpenSAMM Framework.

4. Das Publikum kennen

Eine der häufigsten Ursachen für das Scheitern von Unternehmens-Initiativen ist, dass die Initiatoren mit den falschen Informationen an die Entscheidungsträger herantreten. Ein CFO wird nicht viel mit der Information „Wir haben die Anzahl unserer SQL-Injections um 30 Prozent erniedrigt“ anfangen können. Für den CFO müssen diese Werte in Umsatzzahlen, oder zumindest Risikoeinschätzungen, übersetzt werden. Hilfreich wären also Formulierungen wie „Das AppSec-Programm wird die Anzahl von Datenlecks um X Prozent reduzieren“ oder „Durch das AppSec-Programm sparen wir uns X Prozent der Kosten, die durch das Beheben von Schwachstellen anfallen“.

5. Prioritäten setzen

Ein ganzheitliches AppSec-Programm ist umfangreich und beinhaltet viele unterschiedliche Komponenten, in die investiert werden muss. Sicherheitsabteilungen müssen sich im Klaren sein, wo ihre „Must‘s“, „Should‘s“ und „Could‘s“ liegen und Stakeholdern dann entsprechende Optionen aufzeigen. Welche Aspekte des Programms sind unentbehrlich? An welchen Stellen ist Raum für Verhandlung? Und welche Aspekte könnte man nach einigen Monaten des ersten Aufrollens des Programms nochmals neu evaluieren? Oberste Priorität sollten in jedem Falle Compliance-Regulationen sein. Ein typisches „Should“ wären Investitionen in neue Testing- bzw. Scanning-Techniken und ein „Could“ wären weiterführende Trainings für Sicherheitsteams.

Um mehr Budget für ein umfangreiches Anwendungssicherheitsprogramm herauszuholen, bedarf es also ein paar Tricks. Was sich allerdings durch jeden der fünf Punkte zieht, ist der Gedanke einer Vision. Sicherheitsteams müssen genau wissen, wie ihr AppSec-Programm aussehen soll, was sie dafür brauchen und inwiefern die richtige Applikationssicherheitsstrategie in der Zukunft zum Unternehmenserfolg beitragen wird.

www.veracode.com
 

Neuste Artikel

Trojaner

Aktuelle Trojaner-Welle gefährdet Unternehmen

Zurzeit werden in Deutschland vermehrt E-Mails versandt, bei denen es sich scheinbar um legitime Geschäfts-E-Mails handelt. Im Anhang befindet sich ein ZIP-Archiv, das per Passwort geschützt ist – meistens 111, 333 oder 555. Gibt der Empfänger das Passwort…
E-Mail Lupe

Archivfunktion des E-Mail-Programms nicht rechtssicher

PSW GROUP klärt über Irrtümer der E-Mail Archivierung auf und zeigt, wie es richtig geht Fulda – Vor allem aus steuerrechtlichen Gründen sind Unternehmen dazu verpflichtet, geschäftliche Korrespondenzen aufzubewahren: Das Finanzamt erhebt den Anspruch, auch…
Marketing Trends 2020

Das sind die Marketing-Trends 2020!

Marketing entwickelt sich stetig weiter. Und für Shopbetreiber ist es wichtig, am Puls der Zeit zu bleiben, um auch weiterhin die eigenen (und neue) Kunden zu erreichen.
HR 2020

HR und Recruiting: Das wird 2020 wichtig

Geschwindigkeit und Flexibilität – das sind nach Einschätzung der internationalen Personalberatung Robert Walters die entscheidenden Faktoren für erfolgreiche Personalarbeit in diesem Jahr – vor allem, wenn es um das Gewinnen neuer Mitarbeiter geht.
Tb W246 H150 Crop Int 96005bd1e9b46f161025176db1164425

Botschaften aus Davos: Zusammenfassung

Tom Patterson, Chief Trust Officer des weltweit tätigen IT-Dienstleisters Unisys, bloggte live vom Cyber Future Dialogue 2020, der parallel zum WEF in Davos stattfindet:
Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.

Anzeige

GRID LIST
Lizenzmanagement Trends 2020

Hersteller dominieren den Markt, aber bestimmen ihn nicht

Die Geschäftsmodelle von Microsoft und Co. verändern sich. Längst gehören neben den…
New Release

Low-Code 4.0 – Simplifier Release 5.0

Immer mehr Unternehmen erkennen, dass Low-Code sehr hilfreich für die Umsetzung ihrer…
Programmieren

Programmieren im Jahr 2020

Der Erfolg ist auch im neuen Jahr nicht automatisch vorprogrammiert, sondern hängt von…