Viele Unternehmen sehen in Automatisierung und Künstlicher Intelligenz (KI) die Möglichkeit, Sicherheitskontrollen zu verbessern und eine effiziente Gefahrenabwehr zu schaffen. Bei der Fokussierung auf neue Technologien können sie jedoch schnell den wichtigen Faktor der menschlichen Expertise aus den Augen verlieren. [...]
Anwendungen gestalten zunehmend unsere Welt. Gleichzeitig tun sich viele Unternehmen weiterhin schwer ihre Anwendungen richtig zu schützen. So zeigten beispielsweise 83 Prozent der im aktuellen State of Software Security-Report von Veracode untersuchten Anwendungen beim ersten Scan einen Sicherheitsmangel. Außerdem neigen Unternehmen dazu, „Sicherheitsverschuldungen“ anzuhäufen. Unter Sicherheitsverschuldung versteht man die Anhäufung von Schwachstellen, die zwar entdeckt wurden, aber nicht behoben – und umso länger diese Schwachstellen existieren, umso niedriger ist die Wahrscheinlichkeit, dass sie noch behoben werden.
Zwar beheben Unternehmen mehr als die Hälfte (56 Prozent) aller neuen Schwachstellen, die gefunden werden, vernachlässigen dafür aber ältere. Mithilfe von automatischem Scannen und Machine Learning können Unternehmen Schwachstellen frühzeitig erkennen und somit kostengünstig und effektiv beheben. Die Algorithmen allein schaffen es jedoch nicht, Entwicklerteams ein neues Sicherheitsbewusstsein näher zu bringen. Dafür lohnt sich die Kombination von menschlicher Expertise und Automatisierung und der gezielte Einsatz von Security-Champions.
Sicherheits- und Entwicklerteams müssen enger zusammenrücken
Die Geschwindigkeit in der Anwendungsentwicklung nimmt stets zu. Deshalb ist es besonders wichtig, Sicherheitsfragen früh im Entwicklungsprozess zu adressieren. Dadurch entsteht eine neue Nähe zwischen Sicherheits- und Entwicklerteams. Um die neuen und zahlreichen Herausforderungen für die Anwendungssicherheit zu bewältigen, gilt es, diese Zusammenarbeit zu optimieren. Ein Bericht von Securosis zeigt, dass die meisten IT-Experten hauptsächlich über Erfahrungen im Bereich der Netzwerksicherheit verfügen. Auf der anderen Seite fehlt vielen Entwicklern eine Ausbildung im Bereich Sicherheit und regelmäßige Trainings für sicheres Coden. Dadurch entsteht bei ihnen mangelndes Wissen über sichere Entwicklungsprozesse von Anwendungen. Sicherheits- und Entwicklerteams müssen demnach in Zukunft die Arbeitsprozesse des Gegenübers verstehen.
So zeigten Ergebnisse des SoSS-Reports, dass Sicherheitstrainings die Fehlerbehebungsrate der Entwickler um 19 Prozent verbesserten. Allerdings bieten laut aktueller Forschung 53 Prozent der Unternehmen ihren Entwicklern nur höchstens einmal im Jahr entsprechende Trainings an. Oftmals führt dies dann dazu, dass Unternehmen fehlerhaften Code liefern, weil Entwickler entweder unter Zeitdruck stehen oder die Schwachstelle erst dann entdecken, wenn es im Software-Entwicklungsprozess bereits zu spät ist diese noch zu beheben.
Effektive Sicherheitstrainings für Entwickler bieten echte Anwendungen, wie zum Beispiel containerisierte Web Apps, die sie dann selbst auch angreifen können. Entwickler sollten im besten Fall mit echten Exploits arbeiten können und Programmiersprachen nutzen, die im Unternehmen tatsächlich angewendet werden, denn Trainings sollten immer so praxisnah wie möglich sein. Hierfür eignen sich bestimmte Trainingsplattformen wie das Veracode Security Labs, das echte Umgebungen nutzt und realistische Anwendungs-Stacks und Exploits bietet, die von Hackern eingesetzt werden. Praktische Übungen sind für Entwickler ideal zum Lernen, denn sie können das neue Wissen direkt in ihrem eigenen Code anwenden. Diese Art moderner Sicherheitstrainings ermöglicht es den Entwicklerteams mehr Eigenverantwortung und Kontrolle im Bereich Sicherheit zu übernehmen. Als Folge werden die Sicherheitsteams entlastet, die sich wiederum mehr Zeit für individuelle Trainings der Entwickler nehmen können.
Security-Champions für ein neues Sicherheitsbewusstsein
Neben dem verbesserten Verständnis für die unterschiedlichen Aufgaben innerhalb der IT-Teams können Unternehmen auch durch die Hilfe von Security-Champions ihre Anwendungssicherheit optimieren. Im Rahmen des Securosis-Berichts zeigte sich bei einer Befragung von drei mittelgroßen Unternehmen, dass deren Entwicklerteams aus 800 bis 2.000 Mitarbeitern bestanden, aber gerade einmal 12 bis 25 Mitarbeiter in den Sicherheitsteams arbeiteten. Davon wiesen lediglich zwei oder drei eine Ausbildung im Bereich der Anwendungssicherheit auf. Es gilt, Security-Champions gezielt auszubilden und in Entwicklerteams zu integrieren. Hier dienen sie als Multiplikatoren für ein neues Sicherheitsbewusstsein, dass sich schließlich auf das gesamte IT-Team übertragen kann.
Um Security-Champions auszubilden, müssen Unternehmen ihren Entwicklern ein Trainingsprogramm anbieten. Kernbestandteile dabei sind Wissen und Know-How im Bereich Anwendungssicherheit. Dadurch werden die Entwickler zu qualifizierten Ansprechpartnern für das gesamte Entwicklerteam in Bezug auf Sicherheit. Gleichzeitig agieren die ausgebildeten Security-Champions dann als Bindeglied zwischen Sicherheits- und Entwicklerteams. Dies führt zu einem gewinnbringenden Austausch. Die Kombination aus Sicherheits-Experten und einem besseren Verständnis zwischen Entwickler- und Sicherheitsteams kann somit sowohl für eine schnellere Identifikation von Schwachstellen als auch für eine optimierte Fehlerprävention sorgen. Es gilt künftig für Unternehmen, die besondere Rolle von Security-Champions zu erkennen.
*Julian Totzek-Hallhuber ist Solution Architect bei Veracode.
Be the first to comment