Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Security ConceptJeder Hersteller stellt individuelle Ansprüche an ein Sicherheitsprogramm für seine Anwendungen. Deshalb gibt es auch keine universelle, perfekte Lösung, die für alle Unternehmen gleichermaßen passt. Doch welche Elemente sollte ein individuell angepasstes Anwendungssicherheits-Programm beinhalten? 

Und noch wichtiger: Wie wählt man das passende Programm aus? Vier Schritte bei der Wahl des Programmes für Anwendungssicherheit sollten immer gleich bleiben, egal ob man Teil der Fortune 500 oder nur ein kleines Unternehmen ist. Julian Totzek-Hallhuber, Solutions Architect beim Spezialisten für Anwendungssicherheit Veracode, hat sich diesen Fragen angenommen und gibt Tipps von der Front:

1. Die eigenen Anwendungen kennen

Wenn Unternehmen ihre Sicherheitslücken schließen wollen, müssen sie zuerst ihre Anwendungen selbst unter die Lupe nehmen. Umso mehr Anwendungen in ein Unternehmen integriert werden, desto schwieriger wird es, den Überblick über potenzielle Schwachpunkte zu behalten. Die Unwissenheit wird größer als das Wissen – so kommt es zu Problemen. Viele Programme zur Anwendungssicherheit beginnen damit, dass sie sich auf webbasierte Applikationen oder Applikationen, die kritische Daten erfassen, konzentrieren. Dabei beachten Sie nicht, dass Vorgängerversionen, Marketing-Webseiten, Drittanbieter-Anwendungen, Open-Source-Apps oder Apps für interne Systeme einen großen Teil des Risikos ausmachen. Nur wem seine Anwendungslandschaft bekannt ist, kann auch erkennen, wo Sicherheitslücken entstehen können.

2. Aufbau eines qualifizierten Teams

Wer will, dass seine Anwendungen sicher sind, darf sich nicht von der Außenwelt abkapseln. Die Entwickler müssen die Möglichkeit haben, sich mit anderen auszutauschen. Immer mehr Sicherheitsexperten arbeiten daran, darauf aufmerksam zu machen, wie sicherer Code auszusehen hat. Das ist besonders wichtig, weil vor allem junge Entwickler, die frisch von der Universität kommen, bis dato vermutlich keine eigenen Erfahrungen mit Cyber-Attacken gemacht haben. Indem man mehrmals im Jahr ein Training anbietet, können die Teams bald nicht nur schneller Bedrohungen erkennen, sondern wissen auch viel besser, wie sie gegen sie vorgehen können. Egal ob durch Schulungen, Konferenzen, Seminare, Messebesuche oder eLearning: Unternehmen profitieren immer davon, wenn sie ihrer IT-Abteilung helfen, sich weiterzubilden und sich mit anderen auszutauschen.

3. Realistische Richtlinien setzen

Um Sicherheit zu gewährleisten, müssen Sicherheitstests so einfach wie möglich sein. Unternehmen, die zu strenge Sicherheitsrichtlinie haben, stellen sich selbst ein Bein. Die Regeln sollten immer realistisch sein. Nicht jede Sicherheitslücke ist gleich ein großes Risiko und muss sofort geschlossen werden. Richtlinien für die Sicherheit von Anwendungen zu erstellen, ist ein fortlaufender Prozess. Man beginnt mit einer Rohfassung und erweitert diese dann, wenn die Entwickler im Unternehmen vor neuen Herausforderungen stehen. Mit der Zeit werden die Regeln immer komplexer. Dabei ist es wichtig, dass nicht nur große Sicherheitslücken, sondern nach und nach auch mittlere Probleme bekämpft werden und Scans mit höherer Frequenz stattfinden. Die Einführung neuer Regeln führt oft dazu, dass interne Programme zur Anwendungssicherheit langsamer laufen. Deshalb sollte man am Anfang klein beginnen und sich dann in die Details einarbeiten.

4. Frühzeitig beginnen

Viele Hersteller warten so lange wie möglich mit einem Sicherheitstest für ihre Anwendung. Das kann aber am Ende mehr Arbeit bedeuten. Wer bereits im Entwicklungsprozess verschiedene Sicherheitstests integriert, hat es nachher um einiges leichter. Unternehmen gewährleisten so, dass sie sicheren Code verwenden, ohne dass sie ihre Produktion lange aufhalten müssen. Das IT-Team kann Sicherheitslücken sofort schließen, wenn sie gefunden werden. Viele Software-Hersteller führen zum Beispiel immer automatisch einen Sicherheitstest durch, sobald eine bestimmte Phase der Entwicklung abgeschlossen ist. Auch wenn die Erstellung von Code von Unternehmen zu Unternehmen anders aussieht, gibt es dennoch in jedem Produktionsschritt die Möglichkeit, einen Sicherheitstest einzubauen.

Fazit

Jedes Unternehmen muss letztendlich anhand seiner Ansprüche selbst entscheiden, welches Anwendungssicherheits-Programm das Richtige ist. Beachtet man allerdings die oben genannten Tipps, baut man eine sehr gute Basis – ein Schritt in die richtige Richtung. Der aktuelle Bericht zum Status der Softwaresicherheit von Veracode zeigt, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen schneller und effektiver beseitigen können. Die Studie zeigt, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen.

Julian Totzek-HallhuberJulian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode.

www.veracode.com

 

GRID LIST
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

2018 wird ein gefährliches Cyber-Jahr

Auch im Jahr 2018 werden Hacker-Angriffe und Anschläge auf die Cyber-Sicherheit zu den…
Cyber-Attack

Cyber-Attacken auf Unternehmen zeigen immense Auswirkungen

Tägliche Angriffe auf die IT-Infrastruktur von Unternehmen sind 2017 zur Regel geworden“,…
Tb W190 H80 Crop Int A0b658a2645ffe77f8cfee09e585c568

IT als Teil der inneren Sicherheit?

In immer größeren Mengen und immer kürzeren Abständen kommen neue, smarte IT-Produkte auf…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security