Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Security ConceptMillionenverluste für Unternehmen durch Schwachstellen in bekannten Anwendungen im letzten Jahr zeigen: Wer bei der Anwendungssicherheit schlampt, riskiert viel. Cyberkriminelle finden zunehmend auch prominente Opfer, wie etwa jüngst die Qatar National Bank.

Vor diesem Hintergrund ist Unternehmen dringend zu raten, ihre Anwendungssicherheit auf den Prüfstand zu stellen. Julian Totzek-Hallhuber, Solution Architect bei Veracode, nennt die fünf größten Fehler und gibt Tipps, wie sie sich in Zukunft vermeiden lassen.

1. Beschränkung der Tests auf sicherheitskritische Anwendungen

Viele Unternehmen beschränken Sicherheitstests auf ihre wichtigsten Anwendungen. Das System muss aber als Ganzes geschützt werden. Angreifer suchen gezielt nach Schwachstellen, die sie oft in veralteter, in Vergessenheit geratener Software finden. Typische Einfallstore sind beispielweise temporäre Marketing-Blogs, verstaubte Landing-Pages oder auch Webseiten, die in Folge von Akquisitionen oder Fusionen übernommen wurden. Von dort aus verschafft sich der Angreifer Zugriff auf den Rest des Servers.

Bei der US-amerikanischen Bank JP Morgan Chase etwa erfolgte ein Einbruch in die Unternehmens-Datenbank über eine Event-Homepage, die ein Jahr zuvor im Rahmen einer Spendenkampagne eingerichtet worden war. Die IT-Abteilung hatte die Webseite schlicht aus den Augen verloren und bei Sicherheitsupdates nicht mehr berücksichtigt.

2. Übertriebener Fokus auf manuelle Penetrationstests

Manuelle Penetrationstests funktionieren bei kleinen Systemen sehr gut. Um eine Vielzahl an Anwendungen manuell auf Herz und Nieren zu prüfen, bedarf es allerdings einer kleinen Armee an Informatikern. Schon aus ökonomischen Gründen ist es deshalb wenig sinnvoll, sich ausschließlich auf manuelle Penetrationstests zu verlassen. Nur mit einer automatisierten, voll skalierbaren Lösung wird es möglich, Sicherheitstests auf alle Anwendungen auszuweiten, ohne dass die Kosten explodieren.

3. Anwendungen von Drittanbietern werden nicht getestet

Den eigenen Code auf Schwachstellen zu prüfen, gehört für alle erfolgreichen Unternehmen zur selbstverständlichen Routine. Aber gerade auch Anwendungen und Software-Komponenten von Drittanbietern sollten gewissenhaften Tests unterzogen werden. Einfach nur darauf zu vertrauen, dass die Hersteller ausreichende Ressourcen in die Sicherheit ihrer Anwendungen investieren, wäre naiv. Denn es nützt nichts, im Ernstfall mit dem Finger auf andere zu zeigen. Ein Datendiebstahl etwa wird in erster Linie auf das Unternehmen zurückfallen, dem die Kunden ihre Daten anvertraut haben – und erst in zweiter Linie auf den Hersteller der überlisteten Software.

4. Unzureichende Integration in den Software-Entwicklungszyklus

Anwendungssicherheit beginnt mit dem Schreiben der ersten Codezeile eines Programms. Sicherheitstests müssen deshalb vollständig in den Software-Entwicklungszyklus integriert werden. Hierbei sollten Unternehmen Rücksicht auf ihre Entwickler nehmen, die oftmals an eine Entwicklungsumgebung gewöhnt sind und nur ungern auf neue Tools umsteigen. Durch Plugins für bestehende Lösungen kann hier Abhilfe geschaffen werden. Außerdem lohnt es sich, Entwickler entsprechend zu schulen und für Sicherheitsfragen zu sensibilisieren.

5. Lokale Lösungen anstatt eines globalen Programms

Gerade große Unternehmen mit mehreren Standorten und Niederlassungen sollten dem Aufbau eines globalen Programms für Anwendungssicherheit höchste Priorität einräumen. Das Festhalten an der Silo-Mentalität verschlingt im besten Fall Geld, weil die Benutzung unterschiedlicher Tools und Methoden mühsam koordiniert werden muss. Im schlechtesten Fall führt die Fragmentierung in ein Sicherheitschaos.

Der Wechsel in die Cloud ist für viele Unternehmen längst überfällig. On-Premise-Lösungen sind teuer in der Anschaffung und erfordern ein Expertenteam, das sich um sie kümmert. Ihr größter Nachteil aber ist: sie wachsen nicht mit ihren Aufgaben. Cloud-basierte Lösungen hingegen sind skalierbar, voll automatisiert und funktionieren standortübergreifend. Deshalb lohnt sich der Umstieg.

Fazit

Um die Sicherheit ihrer Anwendungen zu erhöhen, sollten Unternehmen umfassende und systematische Tests etablieren. Zu diesem Zweck ist es notwendig, Prozesse zu automatisieren und Sicherheitsmaßnahmen auf sämtliche Anwendungen auszuweiten – auch auf die von Drittanbietern. Cloud-basierte Lösungen bieten sich an, weil sie skalierbar sind, eine standortübergreifende Vereinheitlichung des Sicherheitskonzepts ermöglichen und keiner teuren Investitionen in Hardware oder Personal bedürfen.

Julian Totzek-Hallhuber,Julian Totzek-Hallhuber, Solution Architect bei Veracode

www.veracode.de

 

 

 
GRID LIST
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

2018 wird ein gefährliches Cyber-Jahr

Auch im Jahr 2018 werden Hacker-Angriffe und Anschläge auf die Cyber-Sicherheit zu den…
Cyber-Attack

Cyber-Attacken auf Unternehmen zeigen immense Auswirkungen

Tägliche Angriffe auf die IT-Infrastruktur von Unternehmen sind 2017 zur Regel geworden“,…
Tb W190 H80 Crop Int A0b658a2645ffe77f8cfee09e585c568

IT als Teil der inneren Sicherheit?

In immer größeren Mengen und immer kürzeren Abständen kommen neue, smarte IT-Produkte auf…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security