Anzeige

Cyber Security, KI

Eine zunehmend digitalisierte Welt stellt Unternehmen vor Herausforderungen. Viele sehen in Automatisierung und Künstlicher Intelligenz (KI) die Möglichkeit, Sicherheitskontrollen zu verbessern und eine effiziente Gefahrenabwehr zu schaffen.

Bei der Fokussierung auf neue Technologien können Unternehmen jedoch schnell den wichtigen Faktor der menschlichen Expertise aus den Augen verlieren. Vor dem Hintergrund steigender Automatisierung müssen Unternehmen erkennen, dass die Sicherheit ihrer Anwendungen von einer engen Zusammenarbeit zwischen Sicherheits- und Entwicklungsteams profitiert.

Anwendungen gestalten zunehmend unsere Welt. Gleichzeitig tun sich viele Unternehmen weiterhin schwer ihre Anwendungen richtig zu schützen. So zeigten beispielsweise 83 Prozent der im aktuellen State of Software Security-Report von Veracode untersuchten Anwendungen beim ersten Scan einen Sicherheitsmangel. Außerdem neigen Unternehmen dazu, „Sicherheitsverschuldungen“ anzuhäufen. Unter Sicherheitsverschuldung versteht man die Anhäufung von Schwachstellen, die zwar entdeckt wurden, aber nicht behoben – und umso länger diese Schwachstellen existieren, umso niedriger ist die Wahrscheinlichkeit, dass sie noch behoben werden. Zwar beheben Unternehmen mehr als die Hälfte (56 Prozent) aller neuen Schwachstellen, die gefunden werden, vernachlässigen dafür aber ältere. Mithilfe von automatischem Scannen und Machine Learning können Unternehmen Schwachstellen frühzeitig erkennen und somit kostengünstig und effektiv beheben. Die Algorithmen allein schaffen es jedoch nicht, Entwicklerteams ein neues Sicherheitsbewusstsein näher zu bringen. Dafür lohnt sich die Kombination von menschlicher Expertise und Automatisierung und der gezielte Einsatz von Security-Champions.

Sicherheits- und Entwicklerteams müssen enger zusammenrücken

Die Geschwindigkeit in der Anwendungsentwicklung nimmt stets zu. Deshalb ist es besonders wichtig, Sicherheitsfragen früh im Entwicklungsprozess zu adressieren. Dadurch entsteht eine neue Nähe zwischen Sicherheits- und Entwicklerteams. Um die neuen und zahlreichen Herausforderungen für die Anwendungssicherheit zu bewältigen, gilt es, diese Zusammenarbeit zu optimieren. Ein Bericht von Securosis zeigt, dass die meisten IT-Experten hauptsächlich über Erfahrungen im Bereich der Netzwerksicherheit verfügen. Auf der anderen Seite fehlt vielen Entwicklern eine Ausbildung im Bereich Sicherheit und regelmäßige Trainings für sicheres Coden. Dadurch entsteht bei ihnen mangelndes Wissen über sichere Entwicklungsprozesse von Anwendungen. Sicherheits- und Entwicklerteams müssen demnach in Zukunft die Arbeitsprozesse des Gegenübers verstehen.

So zeigten Ergebnisse des SoSS-Reports, dass Sicherheitstrainings die Fehlerbehebungsrate der Entwickler um 19 Prozent verbesserten. Allerdings bieten laut aktueller Forschung 53 Prozent der Unternehmen ihren Entwicklern nur höchstens einmal im Jahr entsprechende Trainings an. Oftmals führt dies dann dazu, dass Unternehmen fehlerhaften Code liefern, weil Entwickler entweder unter Zeitdruck stehen oder die Schwachstelle erst dann entdecken, wenn es im Software-Entwicklungsprozess bereits zu spät ist diese noch zu beheben. Effektive Sicherheitstrainings für Entwickler bieten echte Anwendungen, wie zum Beispiel containerisierte Web Apps, die sie dann selbst auch angreifen können.

Entwickler sollten im besten Fall mit echten Exploits arbeiten können und Programmiersprachen nutzen, die im Unternehmen tatsächlich angewendet werden, denn Trainings sollten immer so praxisnah wie möglich sein. Hierfür eignen sich bestimmte Trainingsplattformen wie das Veracode Security Labs, das echte Umgebungen nutzt und realistische Anwendungs-Stacks und Exploits bietet, die von Hackern eingesetzt werden. Praktische Übungen sind für Entwickler ideal zum Lernen, denn sie können das neue Wissen direkt in ihrem eigenen Code anwenden. Diese Art moderner Sicherheitstrainings ermöglicht es den Entwicklerteams mehr Eigenverantwortung und Kontrolle im Bereich Sicherheit zu übernehmen. Als Folge werden die Sicherheitsteams entlastet, die sich wiederum mehr Zeit für individuelle Trainings der Entwickler nehmen können.

Security-Champions für ein neues Sicherheitsbewusstsein

Neben dem verbesserten Verständnis für die unterschiedlichen Aufgaben innerhalb der IT-Teams können Unternehmen auch durch die Hilfe von Security-Champions ihre Anwendungssicherheit optimieren. Im Rahmen des Securosis-Berichts zeigte sich bei einer Befragung von drei mittelgroßen Unternehmen, dass deren Entwicklerteams aus 800 bis 2.000 Mitarbeitern bestanden, aber gerade einmal 12 bis 25 Mitarbeiter in den Sicherheitsteams arbeiteten. Davon wiesen lediglich zwei oder drei eine Ausbildung im Bereich der Anwendungssicherheit auf. Es gilt, Security-Champions gezielt auszubilden und in Entwicklerteams zu integrieren. Hier dienen sie als Multiplikatoren für ein neues Sicherheitsbewusstsein, dass sich schließlich auf das gesamte IT-Team übertragen kann.

Um Security-Champions auszubilden, müssen Unternehmen ihren Entwicklern ein Trainingsprogramm anbieten. Kernbestandteile dabei sind Wissen und Know-How im Bereich Anwendungssicherheit. Dadurch werden die Entwickler zu qualifizierten Ansprechpartnern für das gesamte Entwicklerteam in Bezug auf Sicherheit. Gleichzeitig agieren die ausgebildeten Security-Champions dann als Bindeglied zwischen Sicherheits- und Entwicklerteams. Dies führt zu einem gewinnbringenden Austausch. Die Kombination aus Sicherheits-Experten und einem besseren Verständnis zwischen Entwickler- und Sicherheitsteams kann somit sowohl für eine schnellere Identifikation von Schwachstellen als auch für eine optimierte Fehlerprävention sorgen. Es gilt künftig für Unternehmen, die besondere Rolle von Security-Champions zu erkennen.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

App-Entwicklung
Aug 25, 2020

App-Entwicklung rückt Sicherheit in den Mittelpunkt

Sicherheits- und Entwicklungsteams richten sich nach unterschiedlichen und oft…
Programmierer
Aug 05, 2020

Anwendungssicherheit: Menschliches und technologisches Potential nutzen

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten…
Code Weltkarte
Okt 27, 2019

Steigende "Sicherheitsverschuldung" durch DevSecOps reduzieren

Veracode hat seinen State of Software Security (SoSS) Report Volume 10 veröffentlicht.…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!