SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Step by StepDass Cyberkriminelle bevorzugt Schwachstellen in Web-Anwendungen ausnutzen, um in die Computersysteme von Unternehmen einzubrechen, ist kein Geheimnis. Dem Data Breach Investigations Report von 2015 von Verizon zufolge handelt es sich hierbei sogar um das häufigste Einfallstor bei Datendiebstählen.

Die Verbesserung der Anwendungssicherheit ist deshalb eine Herausforderung, der sich alle Unternehmen stellen sollten. Julian Totzek-Hallhuber, Solution Architect bei Veracode, erläutert im Folgenden die drei notwendigen Schritte, um das Sicherheitskonzept auf Vordermann zu bringen:

1. Risiken erfassen – und angemessene Antworten finden

Hand aufs Herz: Perfekte Sicherheit wird es nie geben. Es ist unmöglich, das gesamte Anwendungsportfolio frei von Schwachstellen zu halten. IT-Verantwortliche müssen die verfügbaren Ressourcen deshalb kanalisieren und gezielt einsetzen. Die Grundlage hierfür bildet eine Strategie, die auf konkrete Risiken ausgerichtet ist – und nicht auf die Bewahrung der Illusion, dass ein System unverwundbar gemacht werden könne. Geschützt werden sollten vor allem solche Anwendungen und Teile der Infrastruktur, die von sicherheitskritischer Bedeutung sind.

Zunächst ist dazu eine Bestandsaufnahme von Nöten. Welche Anwendungen gibt es im Unternehmen – und auf welchem Entwicklungsstand befindet sich die Anwendungssicherheit? Sobald diese Fragen geklärt sind, können Richtlinien definiert werden. Diese legen fest, mit welchen Risiken das Unternehmen umgehen kann und welche es auf jeden Fall zu vermeiden gilt. Sie bilden die Basis für das weitere Vorgehen und bestimmen etwa, in welchen Bereichen die Entwickler besondere Trainings erhalten. Im Zentrum aller Bemühungen steht jedoch die Integration etablierter Tools, die dabei helfen, kritische Schwachstellen effizienter aufzuspüren und zu beseitigen.

2. Risiken beachten, die durch Anwendungen von Drittanbietern entstehen

Am ersten Tag ein Gast, am dritten eine Last: Dieses alte Sprichwort lässt sich häufig auch auf die Software von Drittanbietern übertragen. Selbst hauseigene Entwicklungen greifen häufig auf Komponenten zurück, die von externen Dienstleistern stammen oder unter einer Open-Source-Lizenz stehen. Ein solches Vorgehen ist zumeist kostengünstiger, als das Rad neu zu erfinden. Es birgt aber das Risiko, dass man sich mit dem fremden Code auch Sicherheitslücken ins Haus holt.

Um Entwicklern zu helfen, produktiver zu arbeiten und die Anwendungssicherheit dabei nicht aus den Augen zu verlieren, sollten IT-Verantwortliche ihnen einen Informationsvorsprung verschaffen. Zum Beispiel indem sie eine Technologie implementieren, die Informationen über die Komponenten von Drittanbietern sowie über die darin entdeckten Sicherheitslücken bereithält und Anwendungen markiert, die von diesen Schwachstellen betroffen sind.

3. Die richtigen Erfolgsmaßstäbe etablieren

Woher wissen IT-Verantwortliche, dass ihre Pläne aufgehen und ihre Maßnahmen greifen? Metriken und KPIs sollten bei allen Bemühungen zur Verbesserung der Anwendungssicherheit im Zentrum stehen. Denn nur wer die wesentlichen Erfolgsmaßstäbe im Blick behält, kann fundierte Entscheidungen treffen. Detaillierte Statistiken und Analysen helfen auch, ein breites Bewusstsein für die Bedeutung der Anwendungssicherheit zu schaffen – etwa bei Entwicklern, Budgetverantwortlichen und Mitgliedern der Unternehmensführung. Auf einige Metriken sollte ein besonderes Augenmerk gelegt werden:

  • Richtlinienkonformität: Richtlinien reflektieren, welche Risiken ein Unternehmen unbedingt vermeiden will. Veracode empfiehlt, innerhalb des Anwendungsportfolios konsistente Richtlinien durchzusetzen. Eine mögliche Richtlinie wäre etwa, dass alle Web-Anwendungen frei von den in der OWASP-Top-10-Liste genannten Schwachstellen sein müssen.
     
  • Zahl der gefundenen Mängel: Diese Metrik erfasst die Zahl der gefundenen Schwachstellen, die in Applikationen gefunden werden – SQL-Injections, Cross-Site-Scripting (XSS) oder kryptographische Unzulänglichkeiten. Sie lässt vor allem Rückschlüsse darauf zu, in welchen Bereichen Entwickler Nachholbedarf haben und durch gezielte Trainings gefördert werden können.
     
  • Erfolgsquote: Wie viele der gefundenen Schwachstellen können am Ende auch beseitigt werden? Die Erfolgsquote ist ein Gradmesser für die Qualität der etablierten Mechanismen und erlaubt es, die Ressourcenallokation besser zu steuern.
     
  • Unternehmensspezifische Erfolgsmaßstäbe: Nicht alle sinnvollen Metriken besitzen universelle Gültigkeit, manche gelten lediglich in speziellen Zusammenhängen. IT-Verantwortliche sollten deshalb nach Erfolgsmaßstäben suchen, die die innerhalb ihres Unternehmens geltenden Prioritäten optimal abbilden – etwa die Zahl der automatisiert getesteten Anwendungen oder durchgeführten Trainings.

Fazit: Anwendungssicherheit ist kein Hexenwerk

Um die Anwendungssicherheit im Unternehmen zu verbessern, benötigt die IT zwei Dinge: die richtige Strategie und die richtigen Tools. Risiken müssen erfasst, Erfolgsmaßstäbe etabliert werden. Vor allem aber gilt es, Sicherheitslücken in kritischen Anwendungen zuverlässig zu identifizieren und zu beseitigen. Wer die oben genannten Schritte vollzieht, kommt diesem Ziel schnell näher.

Julian Totzek-HallhuberJulian Totzek-Hallhuber, Solution Architect bei Veracode

www.veracode.de

 

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet