Unsichere Anwendungen als Hackerparadies

Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. [...]

Web-Anwendungen spielen in mehr als einem Drittel aller Cyber-Angriffe eine entscheidende Rolle, wie der aktuelle Verizon-Data-Breach-Investigations-Report zeigt. Und doch kümmern sich Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen: Laut den US-Analysten bei Gartner geben Unternehmen weltweit mehr als zwanzigmal weniger Geld für Anwendungssicherheit aus als für den Schutz von Endpunkten. Dazu kommt, dass Anwendungssicherheit nicht leicht umzusetzen ist, denn es gibt keine branchenweiten Standards. Welche Auswirkungen ein Fehler maximal haben darf oder was überhaupt als kritischer Fehler gilt, werden Unternehmen erst einmal selbst beantworten müssen. Als Orientierung können jedoch Berichte wie der aktuelle Veracode-Report zur Lage der Software-Sicherheit dienen, die eine realistische Risikobewertung ermöglichen sollen. Veracode analysierte dazu über 200.000 Sicherheitstests in den letzten 18 Monaten.

WO STEHEN UNTERNEHMEN?

Einen möglichen Vergleichswert für Unternehmen bietet die OWASP Top 10-Liste. Sie führt die wichtigsten Sicherheitslücken in Web-Anwendungen auf, zusammengetragen von den Sicherheitsexperten des Open Web Application Security Projects. Überträgt man die Ergebnisse aus der OWASP-Liste auf verschiedene Branchen, so ergibt sich eine große Abweichung in der Erfolgsquote.

Regierungsorganisationen etwa bewegen sich am unteren Ende des Spektrums: Drei von vier Anwendungen der staatlichen Verwaltungen scheitern beim ersten Risikotest nach OWASP Top 10.

Ganz anders die Lage in der Finanzbranche und im produzierenden Gewerbe: Hier zeigt sich die Investition in Software über die letzten Jahre, die sich nun auszahlt. Mit jeweils 65 Prozent und 81 Prozent konnten beide Branchen die Mehrheit ihrer Lücken aktiv schließen.

Wahrscheinlich am meisten Sorgen sollten sich Unternehmen im Gesundheitssektor machen: 80 Prozent der getesteten Unternehmensanwendungen weisen kryptographische Fehler wie schwache Algorithmen auf. Noch schlimmer war jedoch die Rate, in der bekannte Fehler in der Gesundheitsbranche repariert wurden – gerade 43 Prozent.

SELBST IST DER CISO

Was können Unternehmen tun? Die Entwicklung auszulagern bringt jedenfalls nicht das gewünschte Ergebnis: Der aktuelle Veracode-Report zeigt, dass von Unternehmen selbst entwickelte Anwendungen sogar mit 37 Prozent etwas sicherer waren als die eingekauften mit 28 Prozent. Stattdessen wird klar: Anwendungssicherheit besteht aus einer Mischung von Einsicht und Tests. Ständige Tests, etwa über Nacht und während der Entwicklung, sparen zudem Kosten, da Fehler schneller gefunden werden.

Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. Dieses Vorgehen ist nicht einfach und kann länger dauern als der einfache Schutz der Anwendung. Wenn die Analyse jedoch abgeschlossen ist, kann ein Unternehmen den effektiven Schutz wesentlich erhöhen.

* Der Autor Arved Graf von Stackelberg ist Director Central Europe bei Veracode.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*