Anzeige

App-Entwicklung

Sicherheits- und Entwicklungsteams richten sich nach unterschiedlichen und oft miteinander konkurrierenden Metriken. Das Spannungsfeld zwischen kürzeren Release-Zyklen und höheren Sicherheitsrisiken erschwert die Suche nach einer gemeinsamen Basis.

Moderne Methoden bei der Anwendungsentwicklung, wie z. B. der Übergang zu Microservices-Architekturen und die Verwendung von Containern, hat die Kluft zwischen den traditionellen Anforderungen an die Anwendungssicherheit und der Realität der Anwendungsentwicklung weiter vergrößert.

DevSecOps

Unternehmen suchen verstärkt nach DevSecOps-Modellen, die darauf abzielen, mehr Verantwortung für Anwendungssicherheit in die Hände der Entwickler selbst zu legen (also „shift left“ innerhalb des Software-Entwicklungsprozesses). Oft fehlt es diesen aber an einer entsprechenden Ausbildung. Laut einer von Forrester durchgeführten Studie gilt das selbst für die USA. Keines der Top 40 College-Informatikprogramme enthält auch nur ein einziges Kursangebot zu den Themen „Sicheres Programmieren“ (Secure Coding) oder „Sicherer Anwendungsentwurf“ (Secure Design). Kurzfristig sind hier keine Änderungen zu erwarten, und Firmen kämpfen weiter mit Kompetenzlücken. Nicht unbedingt zufriedenstellend, wenn man bedenkt, dass die zusätzliche Last von Sicherheitsschulungen weitgehend auf den Schultern der jeweiligen Teams ruht. 

Eine jüngst von Synopsys bei ESG in Auftrag gegebene Studie untersucht die Dynamik zwischen Entwicklungs- und Cybersicherheitsteams im Hinblick auf Anwendungssicherheit. Befragt wurden 378 Experten für Cybersicherheit mit Technologieverantwortung im Bereich Anwendungssicherheit sowie Softwareentwickler, die mit Sicherheitswerkzeugen und -prozessen direkt zu tun haben. Die Befragten kommen aus unterschiedlichen Branchen wie Fertigung, Finanzdienstleistungen, Bau-/Ingenieurwesen und Dienstleistungen.

Zeitdruck kann Schwachstellen verursachen

Eines der aussagekräftigsten Ergebnisse der Untersuchung: Fast die Hälfte (48 %) der Befragten räumt ein, aufgrund von Zeitdruck wissentlich anfälligen Code für die Produktion freizugeben. Gleichzeitig sind Integrationen, welche die App-Entwicklung unterstützen, wichtig für die Verbesserung von Programmen zur Applikationssicherheit. Das sagen immerhin 43 % der Befragten.

Keine Software-Release wird vermutlich je völlig frei von Schwachstellen sein. Das zu erwarten ist kaum realistisch. Trotzdem sollten Unternehmen sich bemühen, die Sicherheitsrisiken besser zu verstehen und pragmatisch zu priorisieren. Mit den geeigneten Mitteln lassen sich eher risikoreiche Probleme erkennen und angehen sowie eher risikoarme zurückstellen, bis die nötigen Ressourcen zur Behebung frei werden.

Ein Viertel der Befragten ist allerdings der Meinung, dass die aktuell für die Anwendungssicherheit eingesetzten Tools zu Reibungsverlusten führen und die Entwicklungszyklen verlangsamen, während für 23 % die mangelhafte Integration mit Entwicklungs-/DevOps-Tools die gängigste Herausforderung ist. Annähernd ein Drittel (29 %) der Befragten gibt an, dass den Entwicklern im Unternehmen das notwendige Wissen fehlt, um die von App-Sec-Tools aufgedeckten Probleme zu beheben und lediglich 29 % der Entwickler nehmen mindestens einmal pro Jahr an Sicherheitsschulungen teil. 

IDE-Plugins

Es gibt allerdings bereits Lösungen, die gerade dieses Spannungsfeld adressieren. Hier stehen IDE-Plugins zur Verfügung, die während des Schreibens auf Sicherheits- und Qualitätsprobleme im Code hinweisen. Einige Lösungen bieten zusätzlich kontextbezogene Anleitungen für gekennzeichnete Schwachstellen. Das hat mehrere Vorteile: Man senkt das Risiko von Schwachstellen schon in einem frühen Stadium des Softwareentwicklungszyklus (und unterstützt so die "Shift-Left"-Mentalität) und man stellt gleichzeitig Schulungsressourcen für die Entwickler bereit. Auf diese Weise lassen sich häufige Fehler besser verstehen und zukünftig vermeiden. Die überwiegende Mehrheit der Entwickler verfügt nicht über ausreichende Erfahrung im Entwickeln von sicherem Code. On-the-job-Ressourcen wie diese schaffen Abhilfe, ohne sich negativ auf die Produktivität auszuwirken.

Für die Zukunft plant über die Hälfte (51 %) der Befragten, im nächsten Jahr die Investitionen in die Applikationssicherheit deutlich zu erhöhen, 44 % planen Anwendungssicherheit für die Cloud. Unabhängig von Branche und Marktsegment entscheiden sich mittlerweile viele Firmen für Cloud/SaaS-Lösungen. Wirtschaftlichkeit und Skalierungsfähigkeit von Cloud-Anwendungen und -Plattformen überwiegen nachweislich die bekannten Risiken. Durch das Auslagern von Infrastruktur- (IaaS), Plattform- (PaaS) und Anwendungsmanagement (SaaS) sind Firmen in der Lage, ihr Kerngeschäft schneller zu digitalisieren und zu skalieren. Dieser Trend erstreckt sich auch auf Tools zur Applikationssicherheit, wie die Studie nachweist. 

Schwierigkeiten beim Integrieren von vorhandenen Tools

Aber Unternehmen planen nicht nur Sicherheitsinvestitionen in die Cloud, sondern vor allem in die Konsolidierung. Viele Firmen haben Mühe, die hohe Anzahl der vorhandenen Tools zu integrieren und zu verwalten. Das verringert oftmals die Effektivität der Sicherheitsprogramme, während gleichzeitig unverhältnismäßig viele Ressourcen für deren Verwaltung aufgewendet werden. Angesichts der Tatsache, dass 72 % der Befragten über zehn verschiedene Tools einsetzen, ist Komplexität eines der Hauptprobleme. Aus diesem Grund konzentriert sich mehr als ein Drittel der Befragten bei anstehenden Investitionen auf die Konsolidierung von Sicherheitswerkzeugen.

Integration unterschiedlicher Anbieter

Die Integration von Lösungen unterschiedlichen Anbietern ist in modernen Entwicklungs- und DevOps-Teams gängige Praxis. Dadurch lässt sich ein eigenes "Ökosystem" von Tools schaffen, die Hand in Hand arbeiten, um unterschiedlichen Belangen und Aufgaben gerecht zu werden. Um Anwendungssicherheit effektiv anzugehen, sollten Teams verschiedene Tools und Techniken kombinieren, wie etwa die statische Analyse (SAST), die Software Composition Analysis (SCA) und dynamische Analysen (DAST). Die Ergebnisse aus diesen Testverfahren zu interpretieren, zu verknüpfen und zu verwalten ist allerdings keine triviale Aufgabe. Insbesondere dann nicht, wenn jede dieser Lösungen von einem anderen Anbieter stammt. Nicht zuletzt deshalb suchen Teams verstärkt nach Lösungen, die verschiedene Analyseformate in einer einheitlichen Tool-Suite kombinieren.

App-Entwicklung und -Design gewinnen weiter an Dynamik. Unternehmen kommen nicht umhin, Sicherheit in diesen Prozess mit einzubeziehen. Dazu gehört es, Entwickler zu unterstützen und die notwendigen Ressourcen bereitzustellen sowie Anwendungssicherheit in den kompletten Lebenszyklus der Anwendungsentwicklung mit einzubeziehen. Tests sollten dabei soweit wie möglich automatisiert werden, um die Konsolidierung der Umgebung voranzutreiben. DevSecOps gehört die Zukunft – das bestätigen auch die Ergebnisse dieser Untersuchung.

Patrick Carey, Director Product Marketing bei Synopsys, www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud Security
Aug 04, 2020

Mit 7 Schritten sicher in die Wolke

Die Cloud ist dank ihrer Flexibilität und Kapazität im Vergleich zu herkömmlichen Rechen-…
Checkliste
Jul 22, 2020

Checkliste Applikationssicherheit

Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen…
Container
Jul 15, 2020

Container Technologie in Unternehmen auf dem Vormarsch

Mehr als zwei Drittel der IT-Verantwortlichen in Deutschland sind davon überzeugt, dass…

Weitere Artikel

Online Banking Security

Beim Online-Banking wird vermehrt auf Sicherheit geachtet

Die Nutzer von Online-Banking achten zunehmend auf Sicherheit. Wichtigen Empfehlungen für zusätzlichen Schutz folgt aber dennoch nur eine Minderheit.
Gesundheitswesen

Sicherheitsbedenken beim Einsatz mobiler Geräte im Gesundheitswesen

Jeder vierte Mitarbeiter im Gesundheitswesen (24 Prozent weltweit; 39 Prozent in Deutschland) ist der Meinung, dass Patientendaten nicht sicher sind, wenn sie mit ihrem mobilen Endgerät darauf zugreifen.
BYOD

Fallstricke beim BYOD-Modell: Worauf müssen Länder und Kommunen achten?

Mobiles Arbeiten beschleunigt die öffentliche Verwaltung und ermöglicht den Mitarbeitern mehr Flexibilität. Werden allerdings private Smartphones verwendet, gehen Länder, Städte und Gemeinden große Risiken ein. Virtual Solution klärt über die entscheidenden…
Mobile Trojaner

Ghimob: Banking-Trojaner attackiert mobile Nutzer in Deutschland

Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert. Der Remote Access Trojaner (RAT) ,Ghimob' wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!