SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Security ConceptMillionenverluste für Unternehmen durch Schwachstellen in bekannten Anwendungen im letzten Jahr zeigen: Wer bei der Anwendungssicherheit schlampt, riskiert viel. Cyberkriminelle finden zunehmend auch prominente Opfer, wie etwa jüngst die Qatar National Bank.

Vor diesem Hintergrund ist Unternehmen dringend zu raten, ihre Anwendungssicherheit auf den Prüfstand zu stellen. Julian Totzek-Hallhuber, Solution Architect bei Veracode, nennt die fünf größten Fehler und gibt Tipps, wie sie sich in Zukunft vermeiden lassen.

1. Beschränkung der Tests auf sicherheitskritische Anwendungen

Viele Unternehmen beschränken Sicherheitstests auf ihre wichtigsten Anwendungen. Das System muss aber als Ganzes geschützt werden. Angreifer suchen gezielt nach Schwachstellen, die sie oft in veralteter, in Vergessenheit geratener Software finden. Typische Einfallstore sind beispielweise temporäre Marketing-Blogs, verstaubte Landing-Pages oder auch Webseiten, die in Folge von Akquisitionen oder Fusionen übernommen wurden. Von dort aus verschafft sich der Angreifer Zugriff auf den Rest des Servers.

Bei der US-amerikanischen Bank JP Morgan Chase etwa erfolgte ein Einbruch in die Unternehmens-Datenbank über eine Event-Homepage, die ein Jahr zuvor im Rahmen einer Spendenkampagne eingerichtet worden war. Die IT-Abteilung hatte die Webseite schlicht aus den Augen verloren und bei Sicherheitsupdates nicht mehr berücksichtigt.

2. Übertriebener Fokus auf manuelle Penetrationstests

Manuelle Penetrationstests funktionieren bei kleinen Systemen sehr gut. Um eine Vielzahl an Anwendungen manuell auf Herz und Nieren zu prüfen, bedarf es allerdings einer kleinen Armee an Informatikern. Schon aus ökonomischen Gründen ist es deshalb wenig sinnvoll, sich ausschließlich auf manuelle Penetrationstests zu verlassen. Nur mit einer automatisierten, voll skalierbaren Lösung wird es möglich, Sicherheitstests auf alle Anwendungen auszuweiten, ohne dass die Kosten explodieren.

3. Anwendungen von Drittanbietern werden nicht getestet

Den eigenen Code auf Schwachstellen zu prüfen, gehört für alle erfolgreichen Unternehmen zur selbstverständlichen Routine. Aber gerade auch Anwendungen und Software-Komponenten von Drittanbietern sollten gewissenhaften Tests unterzogen werden. Einfach nur darauf zu vertrauen, dass die Hersteller ausreichende Ressourcen in die Sicherheit ihrer Anwendungen investieren, wäre naiv. Denn es nützt nichts, im Ernstfall mit dem Finger auf andere zu zeigen. Ein Datendiebstahl etwa wird in erster Linie auf das Unternehmen zurückfallen, dem die Kunden ihre Daten anvertraut haben – und erst in zweiter Linie auf den Hersteller der überlisteten Software.

4. Unzureichende Integration in den Software-Entwicklungszyklus

Anwendungssicherheit beginnt mit dem Schreiben der ersten Codezeile eines Programms. Sicherheitstests müssen deshalb vollständig in den Software-Entwicklungszyklus integriert werden. Hierbei sollten Unternehmen Rücksicht auf ihre Entwickler nehmen, die oftmals an eine Entwicklungsumgebung gewöhnt sind und nur ungern auf neue Tools umsteigen. Durch Plugins für bestehende Lösungen kann hier Abhilfe geschaffen werden. Außerdem lohnt es sich, Entwickler entsprechend zu schulen und für Sicherheitsfragen zu sensibilisieren.

5. Lokale Lösungen anstatt eines globalen Programms

Gerade große Unternehmen mit mehreren Standorten und Niederlassungen sollten dem Aufbau eines globalen Programms für Anwendungssicherheit höchste Priorität einräumen. Das Festhalten an der Silo-Mentalität verschlingt im besten Fall Geld, weil die Benutzung unterschiedlicher Tools und Methoden mühsam koordiniert werden muss. Im schlechtesten Fall führt die Fragmentierung in ein Sicherheitschaos.

Der Wechsel in die Cloud ist für viele Unternehmen längst überfällig. On-Premise-Lösungen sind teuer in der Anschaffung und erfordern ein Expertenteam, das sich um sie kümmert. Ihr größter Nachteil aber ist: sie wachsen nicht mit ihren Aufgaben. Cloud-basierte Lösungen hingegen sind skalierbar, voll automatisiert und funktionieren standortübergreifend. Deshalb lohnt sich der Umstieg.

Fazit

Um die Sicherheit ihrer Anwendungen zu erhöhen, sollten Unternehmen umfassende und systematische Tests etablieren. Zu diesem Zweck ist es notwendig, Prozesse zu automatisieren und Sicherheitsmaßnahmen auf sämtliche Anwendungen auszuweiten – auch auf die von Drittanbietern. Cloud-basierte Lösungen bieten sich an, weil sie skalierbar sind, eine standortübergreifende Vereinheitlichung des Sicherheitskonzepts ermöglichen und keiner teuren Investitionen in Hardware oder Personal bedürfen.

Julian Totzek-Hallhuber,Julian Totzek-Hallhuber, Solution Architect bei Veracode

www.veracode.de

 

 

 
GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet