Unsichere Anwendungen als Hackerparadies

Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. [...]

Web-Anwendungen spielen in mehr als einem Drittel aller Cyber-Angriffe eine entscheidende Rolle, wie der aktuelle Verizon-Data-Breach-Investigations-Report zeigt. Und doch kümmern sich Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen: Laut den US-Analysten bei Gartner geben Unternehmen weltweit mehr als zwanzigmal weniger Geld für Anwendungssicherheit aus als für den Schutz von Endpunkten. Dazu kommt, dass Anwendungssicherheit nicht leicht umzusetzen ist, denn es gibt keine branchenweiten Standards. Welche Auswirkungen ein Fehler maximal haben darf oder was überhaupt als kritischer Fehler gilt, werden Unternehmen erst einmal selbst beantworten müssen. Als Orientierung können jedoch Berichte wie der aktuelle Veracode-Report zur Lage der Software-Sicherheit dienen, die eine realistische Risikobewertung ermöglichen sollen. Veracode analysierte dazu über 200.000 Sicherheitstests in den letzten 18 Monaten.

WO STEHEN UNTERNEHMEN?

Einen möglichen Vergleichswert für Unternehmen bietet die OWASP Top 10-Liste. Sie führt die wichtigsten Sicherheitslücken in Web-Anwendungen auf, zusammengetragen von den Sicherheitsexperten des Open Web Application Security Projects. Überträgt man die Ergebnisse aus der OWASP-Liste auf verschiedene Branchen, so ergibt sich eine große Abweichung in der Erfolgsquote.

Regierungsorganisationen etwa bewegen sich am unteren Ende des Spektrums: Drei von vier Anwendungen der staatlichen Verwaltungen scheitern beim ersten Risikotest nach OWASP Top 10.

Ganz anders die Lage in der Finanzbranche und im produzierenden Gewerbe: Hier zeigt sich die Investition in Software über die letzten Jahre, die sich nun auszahlt. Mit jeweils 65 Prozent und 81 Prozent konnten beide Branchen die Mehrheit ihrer Lücken aktiv schließen.

Wahrscheinlich am meisten Sorgen sollten sich Unternehmen im Gesundheitssektor machen: 80 Prozent der getesteten Unternehmensanwendungen weisen kryptographische Fehler wie schwache Algorithmen auf. Noch schlimmer war jedoch die Rate, in der bekannte Fehler in der Gesundheitsbranche repariert wurden – gerade 43 Prozent.

SELBST IST DER CISO

Was können Unternehmen tun? Die Entwicklung auszulagern bringt jedenfalls nicht das gewünschte Ergebnis: Der aktuelle Veracode-Report zeigt, dass von Unternehmen selbst entwickelte Anwendungen sogar mit 37 Prozent etwas sicherer waren als die eingekauften mit 28 Prozent. Stattdessen wird klar: Anwendungssicherheit besteht aus einer Mischung von Einsicht und Tests. Ständige Tests, etwa über Nacht und während der Entwicklung, sparen zudem Kosten, da Fehler schneller gefunden werden.

Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. Dieses Vorgehen ist nicht einfach und kann länger dauern als der einfache Schutz der Anwendung. Wenn die Analyse jedoch abgeschlossen ist, kann ein Unternehmen den effektiven Schutz wesentlich erhöhen.

* Der Autor Arved Graf von Stackelberg ist Director Central Europe bei Veracode.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*