Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. [...]
Web-Anwendungen spielen in mehr als einem Drittel aller Cyber-Angriffe eine entscheidende Rolle, wie der aktuelle Verizon-Data-Breach-Investigations-Report zeigt. Und doch kümmern sich Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen: Laut den US-Analysten bei Gartner geben Unternehmen weltweit mehr als zwanzigmal weniger Geld für Anwendungssicherheit aus als für den Schutz von Endpunkten. Dazu kommt, dass Anwendungssicherheit nicht leicht umzusetzen ist, denn es gibt keine branchenweiten Standards. Welche Auswirkungen ein Fehler maximal haben darf oder was überhaupt als kritischer Fehler gilt, werden Unternehmen erst einmal selbst beantworten müssen. Als Orientierung können jedoch Berichte wie der aktuelle Veracode-Report zur Lage der Software-Sicherheit dienen, die eine realistische Risikobewertung ermöglichen sollen. Veracode analysierte dazu über 200.000 Sicherheitstests in den letzten 18 Monaten.
WO STEHEN UNTERNEHMEN?
Einen möglichen Vergleichswert für Unternehmen bietet die OWASP Top 10-Liste. Sie führt die wichtigsten Sicherheitslücken in Web-Anwendungen auf, zusammengetragen von den Sicherheitsexperten des Open Web Application Security Projects. Überträgt man die Ergebnisse aus der OWASP-Liste auf verschiedene Branchen, so ergibt sich eine große Abweichung in der Erfolgsquote.
Regierungsorganisationen etwa bewegen sich am unteren Ende des Spektrums: Drei von vier Anwendungen der staatlichen Verwaltungen scheitern beim ersten Risikotest nach OWASP Top 10.
Ganz anders die Lage in der Finanzbranche und im produzierenden Gewerbe: Hier zeigt sich die Investition in Software über die letzten Jahre, die sich nun auszahlt. Mit jeweils 65 Prozent und 81 Prozent konnten beide Branchen die Mehrheit ihrer Lücken aktiv schließen.
Wahrscheinlich am meisten Sorgen sollten sich Unternehmen im Gesundheitssektor machen: 80 Prozent der getesteten Unternehmensanwendungen weisen kryptographische Fehler wie schwache Algorithmen auf. Noch schlimmer war jedoch die Rate, in der bekannte Fehler in der Gesundheitsbranche repariert wurden – gerade 43 Prozent.
SELBST IST DER CISO
Was können Unternehmen tun? Die Entwicklung auszulagern bringt jedenfalls nicht das gewünschte Ergebnis: Der aktuelle Veracode-Report zeigt, dass von Unternehmen selbst entwickelte Anwendungen sogar mit 37 Prozent etwas sicherer waren als die eingekauften mit 28 Prozent. Stattdessen wird klar: Anwendungssicherheit besteht aus einer Mischung von Einsicht und Tests. Ständige Tests, etwa über Nacht und während der Entwicklung, sparen zudem Kosten, da Fehler schneller gefunden werden.
Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. Dieses Vorgehen ist nicht einfach und kann länger dauern als der einfache Schutz der Anwendung. Wenn die Analyse jedoch abgeschlossen ist, kann ein Unternehmen den effektiven Schutz wesentlich erhöhen.
* Der Autor Arved Graf von Stackelberg ist Director Central Europe bei Veracode.
Be the first to comment