IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Security ConceptJeder Hersteller stellt individuelle Ansprüche an ein Sicherheitsprogramm für seine Anwendungen. Deshalb gibt es auch keine universelle, perfekte Lösung, die für alle Unternehmen gleichermaßen passt. Doch welche Elemente sollte ein individuell angepasstes Anwendungssicherheits-Programm beinhalten? 

Und noch wichtiger: Wie wählt man das passende Programm aus? Vier Schritte bei der Wahl des Programmes für Anwendungssicherheit sollten immer gleich bleiben, egal ob man Teil der Fortune 500 oder nur ein kleines Unternehmen ist. Julian Totzek-Hallhuber, Solutions Architect beim Spezialisten für Anwendungssicherheit Veracode, hat sich diesen Fragen angenommen und gibt Tipps von der Front:

1. Die eigenen Anwendungen kennen

Wenn Unternehmen ihre Sicherheitslücken schließen wollen, müssen sie zuerst ihre Anwendungen selbst unter die Lupe nehmen. Umso mehr Anwendungen in ein Unternehmen integriert werden, desto schwieriger wird es, den Überblick über potenzielle Schwachpunkte zu behalten. Die Unwissenheit wird größer als das Wissen – so kommt es zu Problemen. Viele Programme zur Anwendungssicherheit beginnen damit, dass sie sich auf webbasierte Applikationen oder Applikationen, die kritische Daten erfassen, konzentrieren. Dabei beachten Sie nicht, dass Vorgängerversionen, Marketing-Webseiten, Drittanbieter-Anwendungen, Open-Source-Apps oder Apps für interne Systeme einen großen Teil des Risikos ausmachen. Nur wem seine Anwendungslandschaft bekannt ist, kann auch erkennen, wo Sicherheitslücken entstehen können.

2. Aufbau eines qualifizierten Teams

Wer will, dass seine Anwendungen sicher sind, darf sich nicht von der Außenwelt abkapseln. Die Entwickler müssen die Möglichkeit haben, sich mit anderen auszutauschen. Immer mehr Sicherheitsexperten arbeiten daran, darauf aufmerksam zu machen, wie sicherer Code auszusehen hat. Das ist besonders wichtig, weil vor allem junge Entwickler, die frisch von der Universität kommen, bis dato vermutlich keine eigenen Erfahrungen mit Cyber-Attacken gemacht haben. Indem man mehrmals im Jahr ein Training anbietet, können die Teams bald nicht nur schneller Bedrohungen erkennen, sondern wissen auch viel besser, wie sie gegen sie vorgehen können. Egal ob durch Schulungen, Konferenzen, Seminare, Messebesuche oder eLearning: Unternehmen profitieren immer davon, wenn sie ihrer IT-Abteilung helfen, sich weiterzubilden und sich mit anderen auszutauschen.

3. Realistische Richtlinien setzen

Um Sicherheit zu gewährleisten, müssen Sicherheitstests so einfach wie möglich sein. Unternehmen, die zu strenge Sicherheitsrichtlinie haben, stellen sich selbst ein Bein. Die Regeln sollten immer realistisch sein. Nicht jede Sicherheitslücke ist gleich ein großes Risiko und muss sofort geschlossen werden. Richtlinien für die Sicherheit von Anwendungen zu erstellen, ist ein fortlaufender Prozess. Man beginnt mit einer Rohfassung und erweitert diese dann, wenn die Entwickler im Unternehmen vor neuen Herausforderungen stehen. Mit der Zeit werden die Regeln immer komplexer. Dabei ist es wichtig, dass nicht nur große Sicherheitslücken, sondern nach und nach auch mittlere Probleme bekämpft werden und Scans mit höherer Frequenz stattfinden. Die Einführung neuer Regeln führt oft dazu, dass interne Programme zur Anwendungssicherheit langsamer laufen. Deshalb sollte man am Anfang klein beginnen und sich dann in die Details einarbeiten.

4. Frühzeitig beginnen

Viele Hersteller warten so lange wie möglich mit einem Sicherheitstest für ihre Anwendung. Das kann aber am Ende mehr Arbeit bedeuten. Wer bereits im Entwicklungsprozess verschiedene Sicherheitstests integriert, hat es nachher um einiges leichter. Unternehmen gewährleisten so, dass sie sicheren Code verwenden, ohne dass sie ihre Produktion lange aufhalten müssen. Das IT-Team kann Sicherheitslücken sofort schließen, wenn sie gefunden werden. Viele Software-Hersteller führen zum Beispiel immer automatisch einen Sicherheitstest durch, sobald eine bestimmte Phase der Entwicklung abgeschlossen ist. Auch wenn die Erstellung von Code von Unternehmen zu Unternehmen anders aussieht, gibt es dennoch in jedem Produktionsschritt die Möglichkeit, einen Sicherheitstest einzubauen.

Fazit

Jedes Unternehmen muss letztendlich anhand seiner Ansprüche selbst entscheiden, welches Anwendungssicherheits-Programm das Richtige ist. Beachtet man allerdings die oben genannten Tipps, baut man eine sehr gute Basis – ein Schritt in die richtige Richtung. Der aktuelle Bericht zum Status der Softwaresicherheit von Veracode zeigt, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen schneller und effektiver beseitigen können. Die Studie zeigt, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen.

Julian Totzek-HallhuberJulian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode.

www.veracode.com

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet