SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Security ConceptJeder Hersteller stellt individuelle Ansprüche an ein Sicherheitsprogramm für seine Anwendungen. Deshalb gibt es auch keine universelle, perfekte Lösung, die für alle Unternehmen gleichermaßen passt. Doch welche Elemente sollte ein individuell angepasstes Anwendungssicherheits-Programm beinhalten? 

Und noch wichtiger: Wie wählt man das passende Programm aus? Vier Schritte bei der Wahl des Programmes für Anwendungssicherheit sollten immer gleich bleiben, egal ob man Teil der Fortune 500 oder nur ein kleines Unternehmen ist. Julian Totzek-Hallhuber, Solutions Architect beim Spezialisten für Anwendungssicherheit Veracode, hat sich diesen Fragen angenommen und gibt Tipps von der Front:

1. Die eigenen Anwendungen kennen

Wenn Unternehmen ihre Sicherheitslücken schließen wollen, müssen sie zuerst ihre Anwendungen selbst unter die Lupe nehmen. Umso mehr Anwendungen in ein Unternehmen integriert werden, desto schwieriger wird es, den Überblick über potenzielle Schwachpunkte zu behalten. Die Unwissenheit wird größer als das Wissen – so kommt es zu Problemen. Viele Programme zur Anwendungssicherheit beginnen damit, dass sie sich auf webbasierte Applikationen oder Applikationen, die kritische Daten erfassen, konzentrieren. Dabei beachten Sie nicht, dass Vorgängerversionen, Marketing-Webseiten, Drittanbieter-Anwendungen, Open-Source-Apps oder Apps für interne Systeme einen großen Teil des Risikos ausmachen. Nur wem seine Anwendungslandschaft bekannt ist, kann auch erkennen, wo Sicherheitslücken entstehen können.

2. Aufbau eines qualifizierten Teams

Wer will, dass seine Anwendungen sicher sind, darf sich nicht von der Außenwelt abkapseln. Die Entwickler müssen die Möglichkeit haben, sich mit anderen auszutauschen. Immer mehr Sicherheitsexperten arbeiten daran, darauf aufmerksam zu machen, wie sicherer Code auszusehen hat. Das ist besonders wichtig, weil vor allem junge Entwickler, die frisch von der Universität kommen, bis dato vermutlich keine eigenen Erfahrungen mit Cyber-Attacken gemacht haben. Indem man mehrmals im Jahr ein Training anbietet, können die Teams bald nicht nur schneller Bedrohungen erkennen, sondern wissen auch viel besser, wie sie gegen sie vorgehen können. Egal ob durch Schulungen, Konferenzen, Seminare, Messebesuche oder eLearning: Unternehmen profitieren immer davon, wenn sie ihrer IT-Abteilung helfen, sich weiterzubilden und sich mit anderen auszutauschen.

3. Realistische Richtlinien setzen

Um Sicherheit zu gewährleisten, müssen Sicherheitstests so einfach wie möglich sein. Unternehmen, die zu strenge Sicherheitsrichtlinie haben, stellen sich selbst ein Bein. Die Regeln sollten immer realistisch sein. Nicht jede Sicherheitslücke ist gleich ein großes Risiko und muss sofort geschlossen werden. Richtlinien für die Sicherheit von Anwendungen zu erstellen, ist ein fortlaufender Prozess. Man beginnt mit einer Rohfassung und erweitert diese dann, wenn die Entwickler im Unternehmen vor neuen Herausforderungen stehen. Mit der Zeit werden die Regeln immer komplexer. Dabei ist es wichtig, dass nicht nur große Sicherheitslücken, sondern nach und nach auch mittlere Probleme bekämpft werden und Scans mit höherer Frequenz stattfinden. Die Einführung neuer Regeln führt oft dazu, dass interne Programme zur Anwendungssicherheit langsamer laufen. Deshalb sollte man am Anfang klein beginnen und sich dann in die Details einarbeiten.

4. Frühzeitig beginnen

Viele Hersteller warten so lange wie möglich mit einem Sicherheitstest für ihre Anwendung. Das kann aber am Ende mehr Arbeit bedeuten. Wer bereits im Entwicklungsprozess verschiedene Sicherheitstests integriert, hat es nachher um einiges leichter. Unternehmen gewährleisten so, dass sie sicheren Code verwenden, ohne dass sie ihre Produktion lange aufhalten müssen. Das IT-Team kann Sicherheitslücken sofort schließen, wenn sie gefunden werden. Viele Software-Hersteller führen zum Beispiel immer automatisch einen Sicherheitstest durch, sobald eine bestimmte Phase der Entwicklung abgeschlossen ist. Auch wenn die Erstellung von Code von Unternehmen zu Unternehmen anders aussieht, gibt es dennoch in jedem Produktionsschritt die Möglichkeit, einen Sicherheitstest einzubauen.

Fazit

Jedes Unternehmen muss letztendlich anhand seiner Ansprüche selbst entscheiden, welches Anwendungssicherheits-Programm das Richtige ist. Beachtet man allerdings die oben genannten Tipps, baut man eine sehr gute Basis – ein Schritt in die richtige Richtung. Der aktuelle Bericht zum Status der Softwaresicherheit von Veracode zeigt, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen schneller und effektiver beseitigen können. Die Studie zeigt, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen.

Julian Totzek-HallhuberJulian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode.

www.veracode.com

 

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet