Anzeige

App-Entwicklung

Sicherheits- und Entwicklungsteams richten sich nach unterschiedlichen und oft miteinander konkurrierenden Metriken. Das Spannungsfeld zwischen kürzeren Release-Zyklen und höheren Sicherheitsrisiken erschwert die Suche nach einer gemeinsamen Basis.

Moderne Methoden bei der Anwendungsentwicklung, wie z. B. der Übergang zu Microservices-Architekturen und die Verwendung von Containern, hat die Kluft zwischen den traditionellen Anforderungen an die Anwendungssicherheit und der Realität der Anwendungsentwicklung weiter vergrößert.

DevSecOps

Unternehmen suchen verstärkt nach DevSecOps-Modellen, die darauf abzielen, mehr Verantwortung für Anwendungssicherheit in die Hände der Entwickler selbst zu legen (also „shift left“ innerhalb des Software-Entwicklungsprozesses). Oft fehlt es diesen aber an einer entsprechenden Ausbildung. Laut einer von Forrester durchgeführten Studie gilt das selbst für die USA. Keines der Top 40 College-Informatikprogramme enthält auch nur ein einziges Kursangebot zu den Themen „Sicheres Programmieren“ (Secure Coding) oder „Sicherer Anwendungsentwurf“ (Secure Design). Kurzfristig sind hier keine Änderungen zu erwarten, und Firmen kämpfen weiter mit Kompetenzlücken. Nicht unbedingt zufriedenstellend, wenn man bedenkt, dass die zusätzliche Last von Sicherheitsschulungen weitgehend auf den Schultern der jeweiligen Teams ruht. 

Eine jüngst von Synopsys bei ESG in Auftrag gegebene Studie untersucht die Dynamik zwischen Entwicklungs- und Cybersicherheitsteams im Hinblick auf Anwendungssicherheit. Befragt wurden 378 Experten für Cybersicherheit mit Technologieverantwortung im Bereich Anwendungssicherheit sowie Softwareentwickler, die mit Sicherheitswerkzeugen und -prozessen direkt zu tun haben. Die Befragten kommen aus unterschiedlichen Branchen wie Fertigung, Finanzdienstleistungen, Bau-/Ingenieurwesen und Dienstleistungen.

Zeitdruck kann Schwachstellen verursachen

Eines der aussagekräftigsten Ergebnisse der Untersuchung: Fast die Hälfte (48 %) der Befragten räumt ein, aufgrund von Zeitdruck wissentlich anfälligen Code für die Produktion freizugeben. Gleichzeitig sind Integrationen, welche die App-Entwicklung unterstützen, wichtig für die Verbesserung von Programmen zur Applikationssicherheit. Das sagen immerhin 43 % der Befragten.

Keine Software-Release wird vermutlich je völlig frei von Schwachstellen sein. Das zu erwarten ist kaum realistisch. Trotzdem sollten Unternehmen sich bemühen, die Sicherheitsrisiken besser zu verstehen und pragmatisch zu priorisieren. Mit den geeigneten Mitteln lassen sich eher risikoreiche Probleme erkennen und angehen sowie eher risikoarme zurückstellen, bis die nötigen Ressourcen zur Behebung frei werden.

Ein Viertel der Befragten ist allerdings der Meinung, dass die aktuell für die Anwendungssicherheit eingesetzten Tools zu Reibungsverlusten führen und die Entwicklungszyklen verlangsamen, während für 23 % die mangelhafte Integration mit Entwicklungs-/DevOps-Tools die gängigste Herausforderung ist. Annähernd ein Drittel (29 %) der Befragten gibt an, dass den Entwicklern im Unternehmen das notwendige Wissen fehlt, um die von App-Sec-Tools aufgedeckten Probleme zu beheben und lediglich 29 % der Entwickler nehmen mindestens einmal pro Jahr an Sicherheitsschulungen teil. 

IDE-Plugins

Es gibt allerdings bereits Lösungen, die gerade dieses Spannungsfeld adressieren. Hier stehen IDE-Plugins zur Verfügung, die während des Schreibens auf Sicherheits- und Qualitätsprobleme im Code hinweisen. Einige Lösungen bieten zusätzlich kontextbezogene Anleitungen für gekennzeichnete Schwachstellen. Das hat mehrere Vorteile: Man senkt das Risiko von Schwachstellen schon in einem frühen Stadium des Softwareentwicklungszyklus (und unterstützt so die "Shift-Left"-Mentalität) und man stellt gleichzeitig Schulungsressourcen für die Entwickler bereit. Auf diese Weise lassen sich häufige Fehler besser verstehen und zukünftig vermeiden. Die überwiegende Mehrheit der Entwickler verfügt nicht über ausreichende Erfahrung im Entwickeln von sicherem Code. On-the-job-Ressourcen wie diese schaffen Abhilfe, ohne sich negativ auf die Produktivität auszuwirken.

Für die Zukunft plant über die Hälfte (51 %) der Befragten, im nächsten Jahr die Investitionen in die Applikationssicherheit deutlich zu erhöhen, 44 % planen Anwendungssicherheit für die Cloud. Unabhängig von Branche und Marktsegment entscheiden sich mittlerweile viele Firmen für Cloud/SaaS-Lösungen. Wirtschaftlichkeit und Skalierungsfähigkeit von Cloud-Anwendungen und -Plattformen überwiegen nachweislich die bekannten Risiken. Durch das Auslagern von Infrastruktur- (IaaS), Plattform- (PaaS) und Anwendungsmanagement (SaaS) sind Firmen in der Lage, ihr Kerngeschäft schneller zu digitalisieren und zu skalieren. Dieser Trend erstreckt sich auch auf Tools zur Applikationssicherheit, wie die Studie nachweist. 

Schwierigkeiten beim Integrieren von vorhandenen Tools

Aber Unternehmen planen nicht nur Sicherheitsinvestitionen in die Cloud, sondern vor allem in die Konsolidierung. Viele Firmen haben Mühe, die hohe Anzahl der vorhandenen Tools zu integrieren und zu verwalten. Das verringert oftmals die Effektivität der Sicherheitsprogramme, während gleichzeitig unverhältnismäßig viele Ressourcen für deren Verwaltung aufgewendet werden. Angesichts der Tatsache, dass 72 % der Befragten über zehn verschiedene Tools einsetzen, ist Komplexität eines der Hauptprobleme. Aus diesem Grund konzentriert sich mehr als ein Drittel der Befragten bei anstehenden Investitionen auf die Konsolidierung von Sicherheitswerkzeugen.

Integration unterschiedlicher Anbieter

Die Integration von Lösungen unterschiedlichen Anbietern ist in modernen Entwicklungs- und DevOps-Teams gängige Praxis. Dadurch lässt sich ein eigenes "Ökosystem" von Tools schaffen, die Hand in Hand arbeiten, um unterschiedlichen Belangen und Aufgaben gerecht zu werden. Um Anwendungssicherheit effektiv anzugehen, sollten Teams verschiedene Tools und Techniken kombinieren, wie etwa die statische Analyse (SAST), die Software Composition Analysis (SCA) und dynamische Analysen (DAST). Die Ergebnisse aus diesen Testverfahren zu interpretieren, zu verknüpfen und zu verwalten ist allerdings keine triviale Aufgabe. Insbesondere dann nicht, wenn jede dieser Lösungen von einem anderen Anbieter stammt. Nicht zuletzt deshalb suchen Teams verstärkt nach Lösungen, die verschiedene Analyseformate in einer einheitlichen Tool-Suite kombinieren.

App-Entwicklung und -Design gewinnen weiter an Dynamik. Unternehmen kommen nicht umhin, Sicherheit in diesen Prozess mit einzubeziehen. Dazu gehört es, Entwickler zu unterstützen und die notwendigen Ressourcen bereitzustellen sowie Anwendungssicherheit in den kompletten Lebenszyklus der Anwendungsentwicklung mit einzubeziehen. Tests sollten dabei soweit wie möglich automatisiert werden, um die Konsolidierung der Umgebung voranzutreiben. DevSecOps gehört die Zukunft – das bestätigen auch die Ergebnisse dieser Untersuchung.

Patrick Carey, Director Product Marketing bei Synopsys, www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud Security
Aug 04, 2020

Mit 7 Schritten sicher in die Wolke

Die Cloud ist dank ihrer Flexibilität und Kapazität im Vergleich zu herkömmlichen Rechen-…
Checkliste
Jul 22, 2020

Checkliste Applikationssicherheit

Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen…
Container
Jul 15, 2020

Container Technologie in Unternehmen auf dem Vormarsch

Mehr als zwei Drittel der IT-Verantwortlichen in Deutschland sind davon überzeugt, dass…

Weitere Artikel

Hacker Passwort Router

Die Top-10 der unsicheren Router-Passwörter

Ob öffentliches WLAN in einer Bar oder privates Funknetz in den eigenen vier Wänden: Router sind die Torwächter ins Netzwerk. Häufig setzen diese wichtigen Geräte beim Schutz vor unerlaubtem Zugriff lediglich auf ein Passwort, um auf die…
Mobile Security

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile Endgeräte wie Tablets und Smartphones um. Um die Sicherheit interner Informationen zu gewährleisten, kommen viele Faktoren zum Tragen.
Contact-Tracing

Digitales Contact-Tracing: Vor- und Nachteile

Regierungen weltweit sehen sich mit einer weiterhin eskalierenden Krise konfrontiert und erarbeiten Pläne für das Pandemiemanagement. Dabei spielen auch die Vorteile digitaler Überwachungsnetze eine Rolle. 5G-Netze und schnellere Mobilfunkgeschwindigkeiten…
Netzwerk

ISPs unter Zugzwang

Seit den ersten Mobiltelefonen versprachen Mobilfunknetze die durchgehende Konnektivität. Aber die Realität sieht so aus, dass es immer noch Orte ohne Mobilfunknetzabdeckung gibt, und noch mehr Orte wie Wohnungen und Büros, an denen WLAN sinnvoller ist.
Bedrohung_wifi

Ansatz gegen die sechs großen WLAN-Bedrohungen

Beim Thema WLAN-Sicherheit geht WatchGuard Technologies keine Kompromisse ein. Laut neuem Bericht des Produkttestzentrums Miercom erkennen die Access Points von WatchGuard als einzige im Markt alle sechs bekannten Wi-Fi-Bedrohungen und sind in der Lage, diese…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!