F5 Networks ruft Unternehmen auf, sich intensiver mit der Sicherheit ihrer Web Apps zu befassen. Während sie sich hauptsächlich um die Geschwindigkeit der Entwicklung, Performance und Nutzungsraten kümmern, vergessen sie oft die Absicherung ihrer Anwendungen. [...]
„Die gleichen Apps, von denen die Geschäftstätigkeiten abhängen, enthalten häufig auch Schwachstellen, die das Business gefährden“, sagt Ralf Sydekum, Technical Manager DACH bei F5 Networks. „Wir sprechen dabei nicht über kleine Fehler, die ausgeklügelte cyberkriminelle Techniken erfordern, sondern über alltägliche Lücken, die Hacker quasi automatisch ausnutzen können. Dieses Szenario ist viel häufiger als die schlagzeilenträchtigen, spektakulären Angriffe.“
Drei Angriffswege
Hacker untersuchen Webseiten in der Regel über automatische Tools auf mögliche Fehler. Die 10 häufigsten bekannten Schwachstellen sind dabei für 85 Prozent der erfolgreichen Angriffe verantwortlich. Daher kann jedes Unternehmen schnell zum Opfer werden. Letztlich gibt es drei mögliche Angriffswege:
Hacker untersuchen Webseiten in der Regel über automatische Tools auf mögliche Fehler. Die 10 häufigsten bekannten Schwachstellen sind dabei für 85 Prozent der erfolgreichen Angriffe verantwortlich. Daher kann jedes Unternehmen schnell zum Opfer werden. Letztlich gibt es drei mögliche Angriffswege:
- Die Apps sind auf Code-Level unsicher: Es ist deutlich einfacher, Entwickler für ein Security by Design weiterzubilden und damit Probleme im Vorhinein zu vermeiden, als Fehler im Nachhinein zu beheben. Trotzdem folgen nur wenige Unternehmen dem Prinzip des Secure Coding. Eine Umfrage unter App-Entwicklern zeigte bei der Mehrheit nur ein unzureichendes Verständnis der grundlegenden Sicherheit. Das ist nicht überraschend, da die Hälfte weniger als einen Tag Sicherheitstraining in ihrer Karriere hatte. Das Management setzt bei der Budgetierung andere Prioritäten.
- Schwachstellen werden zu spät erkannt: Fast jede Woche wird eine neue Zero-Day-Schwachstelle entdeckt. Trotz Security by Design können Apps Fehler enthalten. Um diese Sicherheitslücken schneller als die Hacker zu erkennen, sind umfangreiche Tests nötig. Gemäß Veracode bestehen weniger als 40 Prozent der intern entwickelten Apps die Sicherheitsanforderungen beim ersten Test. Von Drittanbietern erstellte Anwendungen schnitten mit 28 Prozent sogar noch schlechter ab. Dabei gibt es zahlreiche Tools zur Prüfung von Apps.
- Sicherheitslücken werden zu langsam behoben: Gemäß WhiteHat Security benötigen mehr als die Hälfte der Unternehmen mindestens 200 Tage, um Sicherheitslücken zu schließen. Zwei Drittel davon beheben nur 40 Prozent der identifizierten Schwachstellen. Die lange Zeit von über sechs Monaten und die unvollständige Behebung geben Hackern genügend Raum, sensible Daten auszulesen, Apps zu manipulieren oder andere Schäden zu verursachen.
Die beste Strategie
Unternehmen sollten daher eine Web Application Firewall (WAF) installieren, um das Ausnutzen von Schwachstellen bei Web-Traffic (HTTP/S) und Web-Anwendungen zu verhindern. Viele WAFs integrieren sich mit Scanning-Services für Web-Application-Schwachstellen, um ein automatisches Patching zu ermöglichen. Inzwischen gibt es auch WAF-as-a-Service, um den beträchtlichen Management-Aufwand an erfahrene Dienstleister auszulagern.
Unternehmen sollten daher eine Web Application Firewall (WAF) installieren, um das Ausnutzen von Schwachstellen bei Web-Traffic (HTTP/S) und Web-Anwendungen zu verhindern. Viele WAFs integrieren sich mit Scanning-Services für Web-Application-Schwachstellen, um ein automatisches Patching zu ermöglichen. Inzwischen gibt es auch WAF-as-a-Service, um den beträchtlichen Management-Aufwand an erfahrene Dienstleister auszulagern.
Damit erhalten Unternehmen mehr Zeit für strategische Sicherheitsthemen. Diese ist nötig, da die Budgets für IT-Sicherheit häufig in falsche Kanäle fließen. Öffentlich verfügbare Web-Apps bilden die häufigste Ursache für Sicherheitsvorfälle, laut dem 2016 Report on Application Security des SANS Institute. Doch mehr als die Hälfte der Unternehmen (51 Prozent) geben nur 1 Prozent oder noch weniger ihres IT-Budgets für die Absicherung ihrer Apps aus – oder sie wissen gar nicht wie viel.
Unternehmen sollten sich aber bewusst sein, dass Apps die vorderste Front in der Begegnung mit Hackern bilden. 78 Prozent der Attacken dringen dabei über einfache, alltägliche Techniken ein. Daher ist die Ausstattung des Bereichs App Security mit genügend Budget sowie die Beschäftigung mit den genannten drei Punkten entscheidend, um das Risiko für die Geschäftstätigkeiten zu reduzieren.
Be the first to comment