Anzeige

Cyber Security, KI

Eine zunehmend digitalisierte Welt stellt Unternehmen vor Herausforderungen. Viele sehen in Automatisierung und Künstlicher Intelligenz (KI) die Möglichkeit, Sicherheitskontrollen zu verbessern und eine effiziente Gefahrenabwehr zu schaffen.

Bei der Fokussierung auf neue Technologien können Unternehmen jedoch schnell den wichtigen Faktor der menschlichen Expertise aus den Augen verlieren. Vor dem Hintergrund steigender Automatisierung müssen Unternehmen erkennen, dass die Sicherheit ihrer Anwendungen von einer engen Zusammenarbeit zwischen Sicherheits- und Entwicklungsteams profitiert.

Anwendungen gestalten zunehmend unsere Welt. Gleichzeitig tun sich viele Unternehmen weiterhin schwer ihre Anwendungen richtig zu schützen. So zeigten beispielsweise 83 Prozent der im aktuellen State of Software Security-Report von Veracode untersuchten Anwendungen beim ersten Scan einen Sicherheitsmangel. Außerdem neigen Unternehmen dazu, „Sicherheitsverschuldungen“ anzuhäufen. Unter Sicherheitsverschuldung versteht man die Anhäufung von Schwachstellen, die zwar entdeckt wurden, aber nicht behoben – und umso länger diese Schwachstellen existieren, umso niedriger ist die Wahrscheinlichkeit, dass sie noch behoben werden. Zwar beheben Unternehmen mehr als die Hälfte (56 Prozent) aller neuen Schwachstellen, die gefunden werden, vernachlässigen dafür aber ältere. Mithilfe von automatischem Scannen und Machine Learning können Unternehmen Schwachstellen frühzeitig erkennen und somit kostengünstig und effektiv beheben. Die Algorithmen allein schaffen es jedoch nicht, Entwicklerteams ein neues Sicherheitsbewusstsein näher zu bringen. Dafür lohnt sich die Kombination von menschlicher Expertise und Automatisierung und der gezielte Einsatz von Security-Champions.

Sicherheits- und Entwicklerteams müssen enger zusammenrücken

Die Geschwindigkeit in der Anwendungsentwicklung nimmt stets zu. Deshalb ist es besonders wichtig, Sicherheitsfragen früh im Entwicklungsprozess zu adressieren. Dadurch entsteht eine neue Nähe zwischen Sicherheits- und Entwicklerteams. Um die neuen und zahlreichen Herausforderungen für die Anwendungssicherheit zu bewältigen, gilt es, diese Zusammenarbeit zu optimieren. Ein Bericht von Securosis zeigt, dass die meisten IT-Experten hauptsächlich über Erfahrungen im Bereich der Netzwerksicherheit verfügen. Auf der anderen Seite fehlt vielen Entwicklern eine Ausbildung im Bereich Sicherheit und regelmäßige Trainings für sicheres Coden. Dadurch entsteht bei ihnen mangelndes Wissen über sichere Entwicklungsprozesse von Anwendungen. Sicherheits- und Entwicklerteams müssen demnach in Zukunft die Arbeitsprozesse des Gegenübers verstehen.

So zeigten Ergebnisse des SoSS-Reports, dass Sicherheitstrainings die Fehlerbehebungsrate der Entwickler um 19 Prozent verbesserten. Allerdings bieten laut aktueller Forschung 53 Prozent der Unternehmen ihren Entwicklern nur höchstens einmal im Jahr entsprechende Trainings an. Oftmals führt dies dann dazu, dass Unternehmen fehlerhaften Code liefern, weil Entwickler entweder unter Zeitdruck stehen oder die Schwachstelle erst dann entdecken, wenn es im Software-Entwicklungsprozess bereits zu spät ist diese noch zu beheben. Effektive Sicherheitstrainings für Entwickler bieten echte Anwendungen, wie zum Beispiel containerisierte Web Apps, die sie dann selbst auch angreifen können.

Entwickler sollten im besten Fall mit echten Exploits arbeiten können und Programmiersprachen nutzen, die im Unternehmen tatsächlich angewendet werden, denn Trainings sollten immer so praxisnah wie möglich sein. Hierfür eignen sich bestimmte Trainingsplattformen wie das Veracode Security Labs, das echte Umgebungen nutzt und realistische Anwendungs-Stacks und Exploits bietet, die von Hackern eingesetzt werden. Praktische Übungen sind für Entwickler ideal zum Lernen, denn sie können das neue Wissen direkt in ihrem eigenen Code anwenden. Diese Art moderner Sicherheitstrainings ermöglicht es den Entwicklerteams mehr Eigenverantwortung und Kontrolle im Bereich Sicherheit zu übernehmen. Als Folge werden die Sicherheitsteams entlastet, die sich wiederum mehr Zeit für individuelle Trainings der Entwickler nehmen können.

Security-Champions für ein neues Sicherheitsbewusstsein

Neben dem verbesserten Verständnis für die unterschiedlichen Aufgaben innerhalb der IT-Teams können Unternehmen auch durch die Hilfe von Security-Champions ihre Anwendungssicherheit optimieren. Im Rahmen des Securosis-Berichts zeigte sich bei einer Befragung von drei mittelgroßen Unternehmen, dass deren Entwicklerteams aus 800 bis 2.000 Mitarbeitern bestanden, aber gerade einmal 12 bis 25 Mitarbeiter in den Sicherheitsteams arbeiteten. Davon wiesen lediglich zwei oder drei eine Ausbildung im Bereich der Anwendungssicherheit auf. Es gilt, Security-Champions gezielt auszubilden und in Entwicklerteams zu integrieren. Hier dienen sie als Multiplikatoren für ein neues Sicherheitsbewusstsein, dass sich schließlich auf das gesamte IT-Team übertragen kann.

Um Security-Champions auszubilden, müssen Unternehmen ihren Entwicklern ein Trainingsprogramm anbieten. Kernbestandteile dabei sind Wissen und Know-How im Bereich Anwendungssicherheit. Dadurch werden die Entwickler zu qualifizierten Ansprechpartnern für das gesamte Entwicklerteam in Bezug auf Sicherheit. Gleichzeitig agieren die ausgebildeten Security-Champions dann als Bindeglied zwischen Sicherheits- und Entwicklerteams. Dies führt zu einem gewinnbringenden Austausch. Die Kombination aus Sicherheits-Experten und einem besseren Verständnis zwischen Entwickler- und Sicherheitsteams kann somit sowohl für eine schnellere Identifikation von Schwachstellen als auch für eine optimierte Fehlerprävention sorgen. Es gilt künftig für Unternehmen, die besondere Rolle von Security-Champions zu erkennen.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

App-Entwicklung
Aug 25, 2020

App-Entwicklung rückt Sicherheit in den Mittelpunkt

Sicherheits- und Entwicklungsteams richten sich nach unterschiedlichen und oft…
Programmierer
Aug 05, 2020

Anwendungssicherheit: Menschliches und technologisches Potential nutzen

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten…
Code Weltkarte
Okt 27, 2019

Steigende "Sicherheitsverschuldung" durch DevSecOps reduzieren

Veracode hat seinen State of Software Security (SoSS) Report Volume 10 veröffentlicht.…

Weitere Artikel

Cyber Security

Cyberrisiken für kritische und industrielle Infrastrukturen erreichen ein Allzeithoch

Ein neuer Bericht von Nozomi Networks Labs zeigt, dass Cyber-Bedrohungen für industrielle und kritische Infrastrukturen einen neuen Höhepunkt erreicht haben, da kriminelle Akteure sich auf hochwertige Ziele konzentrieren.
Cyber Security

Sicherheit und Remote IT Management im Jahr 2021

Für viele IT-Profis und Managed Service Provider (MSPs) war Remote Management schon immer ein Teil des Geschäfts. Besonders in der globalen Wirtschaft dieser Generation sind Serviceprovider nicht immer vor Ort bei ihren Kunden, und es ist viel effizienter und…
Cyber Security

Zero Trust: Wichtiger Teil der Sicherheitsstrategie?

Das Zero Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat.
Home Office Pyjama

IT-Security im Pyjama-Look? Sicher von Zuhause arbeiten!

Home Office kann zum IT-Risiko werden. Die Ursachen reichen von Unwissen über alte Hardware bis zu uneinheitlichen Sicherheitsrichtlinien. Unternehmen stehen im eigenen Interesse in der Pflicht, Mitarbeiter auch zuhause sicher an die IT anzubinden.
Cyber Security

IT-Sicherheit im Home-Office: Keine Kostenstelle, sondern eine Investition

Das neue Jahr beginnt, wie das Alte aufgehört hat: Im Home-Office. Die Corona-Pandemie hat es zum festen Bestandteil in vielen Unternehmen gemacht. Wie eine Befragung der Initiative D21 zeigt, arbeiteten 2020 32 Prozent der Berufstätigen im Home-Office.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!