Thought Leadership
Millionenverluste für Unternehmen durch Schwachstellen in bekannten Anwendungen im letzten Jahr zeigen: Wer bei der Anwendungssicherheit schlampt, riskiert viel. Cyberkriminelle finden zunehmend auch prominente Opfer, wie etwa jüngst die Qatar National Bank.
Vor diesem Hintergrund ist Unternehmen dringend zu raten, ihre Anwendungssicherheit auf den Prüfstand zu stellen. Julian Totzek-Hallhuber, Solution Architect bei Veracode, nennt die fünf größten Fehler und gibt Tipps, wie sie sich in Zukunft vermeiden lassen.
1. Beschränkung der Tests auf sicherheitskritische Anwendungen
Viele Unternehmen beschränken Sicherheitstests auf ihre wichtigsten Anwendungen. Das System muss aber als Ganzes geschützt werden. Angreifer suchen gezielt nach Schwachstellen, die sie oft in veralteter, in Vergessenheit geratener Software finden. Typische Einfallstore sind beispielweise temporäre Marketing-Blogs, verstaubte Landing-Pages oder auch Webseiten, die in Folge von Akquisitionen oder Fusionen übernommen wurden. Von dort aus verschafft sich der Angreifer Zugriff auf den Rest des Servers.
Bei der US-amerikanischen Bank JP Morgan Chase etwa erfolgte ein Einbruch in die Unternehmens-Datenbank über eine Event-Homepage, die ein Jahr zuvor im Rahmen einer Spendenkampagne eingerichtet worden war. Die IT-Abteilung hatte die Webseite schlicht aus den Augen verloren und bei Sicherheitsupdates nicht mehr berücksichtigt.
2. Übertriebener Fokus auf manuelle Penetrationstests
Manuelle Penetrationstests funktionieren bei kleinen Systemen sehr gut. Um eine Vielzahl an Anwendungen manuell auf Herz und Nieren zu prüfen, bedarf es allerdings einer kleinen Armee an Informatikern. Schon aus ökonomischen Gründen ist es deshalb wenig sinnvoll, sich ausschließlich auf manuelle Penetrationstests zu verlassen. Nur mit einer automatisierten, voll skalierbaren Lösung wird es möglich, Sicherheitstests auf alle Anwendungen auszuweiten, ohne dass die Kosten explodieren.
3. Anwendungen von Drittanbietern werden nicht getestet
Den eigenen Code auf Schwachstellen zu prüfen, gehört für alle erfolgreichen Unternehmen zur selbstverständlichen Routine. Aber gerade auch Anwendungen und Software-Komponenten von Drittanbietern sollten gewissenhaften Tests unterzogen werden. Einfach nur darauf zu vertrauen, dass die Hersteller ausreichende Ressourcen in die Sicherheit ihrer Anwendungen investieren, wäre naiv. Denn es nützt nichts, im Ernstfall mit dem Finger auf andere zu zeigen. Ein Datendiebstahl etwa wird in erster Linie auf das Unternehmen zurückfallen, dem die Kunden ihre Daten anvertraut haben – und erst in zweiter Linie auf den Hersteller der überlisteten Software.
4. Unzureichende Integration in den Software-Entwicklungszyklus
Anwendungssicherheit beginnt mit dem Schreiben der ersten Codezeile eines Programms. Sicherheitstests müssen deshalb vollständig in den Software-Entwicklungszyklus integriert werden. Hierbei sollten Unternehmen Rücksicht auf ihre Entwickler nehmen, die oftmals an eine Entwicklungsumgebung gewöhnt sind und nur ungern auf neue Tools umsteigen. Durch Plugins für bestehende Lösungen kann hier Abhilfe geschaffen werden. Außerdem lohnt es sich, Entwickler entsprechend zu schulen und für Sicherheitsfragen zu sensibilisieren.
5. Lokale Lösungen anstatt eines globalen Programms
Gerade große Unternehmen mit mehreren Standorten und Niederlassungen sollten dem Aufbau eines globalen Programms für Anwendungssicherheit höchste Priorität einräumen. Das Festhalten an der Silo-Mentalität verschlingt im besten Fall Geld, weil die Benutzung unterschiedlicher Tools und Methoden mühsam koordiniert werden muss. Im schlechtesten Fall führt die Fragmentierung in ein Sicherheitschaos.
Der Wechsel in die Cloud ist für viele Unternehmen längst überfällig. On-Premise-Lösungen sind teuer in der Anschaffung und erfordern ein Expertenteam, das sich um sie kümmert. Ihr größter Nachteil aber ist: sie wachsen nicht mit ihren Aufgaben. Cloud-basierte Lösungen hingegen sind skalierbar, voll automatisiert und funktionieren standortübergreifend. Deshalb lohnt sich der Umstieg.
Fazit
Um die Sicherheit ihrer Anwendungen zu erhöhen, sollten Unternehmen umfassende und systematische Tests etablieren. Zu diesem Zweck ist es notwendig, Prozesse zu automatisieren und Sicherheitsmaßnahmen auf sämtliche Anwendungen auszuweiten – auch auf die von Drittanbietern. Cloud-basierte Lösungen bieten sich an, weil sie skalierbar sind, eine standortübergreifende Vereinheitlichung des Sicherheitskonzepts ermöglichen und keiner teuren Investitionen in Hardware oder Personal bedürfen.
Julian Totzek-Hallhuber, Solution Architect bei Veracode
