4 Schritte zur erfolgreichen AppSec-Strategie

von Oktober 6, 2017

Erfahren Sie, wie Unternehmen JEDER Größe ein zuverlässiges Anwendungssicherheitsprogramm etablieren können.

Ob Dax30-Konzern oder KMU: Jedes Unternehmen sollte eine Strategie haben, um ein zuverlässiges Application-Security-Programm (AppSec) zu etablieren. Weil nicht alle Organisationen vor den gleichen Herausforderungen stehen, können „One-Size-Fits-All“-Lösungen nicht funktionieren. Stattdessen sollten IT-Verantwortliche auf eine bedarfsorientierte technische und kulturelle Neuausrichtung setzen.

Die AppSec-Experten von Veracode haben hunderte Unternehmen dabei begleitet, ein zuverlässiges Anwendungssicherheitsprogramm für die Entwicklungsarbeit ihrer Software und Apps zu etablieren.

Von zentraler Bedeutung ist neben der Auswahl der Tools auch die kulturelle Ausrichtung. Entscheidend ist, Test-Mechanismen in alle Phasen des Software Development Life Cycles (SDLC) zu integrieren – und dabei alle Stakeholder ins Boot zu holen.

Um zu verstehen, was eine gute AppSec-Strategie ausmacht, gilt es jedoch zunächst aus den Fehlern veralteter Vorgehensweisen zu lernen.

AppSec-Strategien der Vergangenheit

Die schlechteste AppSec-Strategie bezeichnen wir schlicht als „veraltet“. Hier finden Sicherheitsüberprüfungen erst statt, wenn eine Anwendung kurz vor der Veröffentlichung steht oder bereits live geschaltet wurde. Dann ist es zu spät, um noch Korrekturen vorzunehmen.

Eine zweite bezeichnen wir mit „ein bisschen spät“. Hier testen Mitglieder eines Sicherheitsteams vor dem Launch einer Anwendung und identifizieren die Bugs. Aber auch sie kommen zu spät. Enge Termine verhindern eine rechtzeitige Fehlerbeseitigung. Die App kommt ebenfalls mit Fehlern auf den Markt. Dann kostet die Fehlerbehebung zehnmal mehr, als wenn die Bugs bereits im Entwicklungsprozess beseitigt worden wären.

Seit sich SCRUM, DevOps und andere Verfahren etabliert haben, gehören beide Strategien der Vergangenheit an – Unternehmen setzen heute auf eine dritte Strategie, scheitern aber nicht selten. Regelmäßige Sicherheitsüberprüfungen sind zwar vorgesehen, die Entwickler erleben die Sicherheitsteams aber als Oberlehrer. Sie arbeiten unter Zeitdruck und wollen nicht, dass ihnen jemand in ihre Code-Zeilen reinredet.

Diese „Testen und Schimpfen“ genannte Strategie ist zum Scheitern verurteilt.

AppSec Generation 2.0

Der Rennwagen unter den AppSec-Strategien ist eine Sicherheitspolitik, die im Entwicklungsprozess fest verankert ist und von den Entwicklern selbst gelebt wird. Während des gesamten Software-Lebenszyklus wenden sie statische und dynamische Tests an. Sie verfolgen eine Qualitätssicherung entlang von Key-Performance-Indikatoren. Die Entwickler erhalten Trainings. Ihnen stehen Tools wie die von Veracode zur Verfügung, um kontinuierlich alle Apps zu überwachen.

Aus unserer Erfahrung sind es vier Schritte, die jedes Unternehmen gehen muss, um eine AppSec-Strategie auf Formel 1-Niveau zu integrieren.

1. Kennen und verstehen Sie Ihr Anwendungsportfolio

Zuallererst müssen Sie Ihre Software- und Anwendungslandschaft genau kennen und die Anwendungsschichten verstehen. Nur so finden Sie Ansatzpunkte für die Steigerung Ihrer Sicherheitslevels. Wir sagen immer: „Sie wissen nicht, was Sie nicht wissen“. Denn viele Unternehmen haben keinen Überblick, welche potenziellen Risiken sich in ihren zahllosen Anwendungen verbergen. Selbst IT-Abteilungen mit einer grundlegenden AppSec-Strategie sind damit oft überfordert.

Vielfach verstecken sich Risiken in Business-Anwendungen, Marketing-Tools, Apps von Drittanbietern und vor allem in Open-Source-Codes. Eine Anwendungsinventur am Anfang hilft bei der Bewusstseinsbildung im Team. Es ist die wichtigste Maßnahme bei der Sanierung der Anwendungslandschaft.

2. Integrieren Sie Anwendungssicherheit in die Entwicklerkultur

Für viele Unternehmen scheint es befremdlich, eine Sicherheitskultur in den Entwicklungsprozess ihrer Software und Apps zu etablieren. Funktionalität und Termine sind zunächst wichtiger als Sicherheit.

Aber immer mehr Sicherheitsexperten arbeiten daran, ihren Programmierern die Vorteile sicheren Codierens zu erläutern. Vor allem jüngere Entwickler ohne Berufspraxis haben noch wenig Erfahrung mit Cyberkriminalität, weil diese Themen nicht auf ihren Lehrplänen standen. Daher scheint es notwendig, die Ausbildungsinhalte zu ergänzen. Beispielsweise durch Seminare für Lehrkräfte. Aber auch eLearning-Angebote, Webinare oder Vorträge sind hilfreich, um Entwicklern möglichst in ihren eigenen Projekten Know-how über Anwendungssicherheit zu vermitteln.

3. Definition einer realistischen Sicherheitspolitik

Im Mittelpunkt einer Sicherheitskultur stehen selbstverständliche Tests im Entwicklungsprozess.

Allerdings kann eine drakonische Null-Fehler Strategie auch das Gegenteil von dem bewirken, was eigentlich erreicht werden soll. Sicherheitsrichtlinien müssen zwar fordernd, aber auch realistisch sein. Denn perfekte Sicherheit gibt es nicht.

Das richtige Maß zu finden, ist ein längerer Prozess. Er beginnt mit dem Verbot schwerster oder kritischer Anwendungsfehler. Dies ist eine erreichbare Grenze, die die Entwickler nicht entmutigt. Im Laufe der Zeit werden sich die Entwickler an regelmäßige Tests gewöhnen und dann können Sie die Latte auch etwas höher hängen. Irgendwann ermahnen Sie auch bei mittelschweren Fehlern und setzen häufiger Tests an, bevor Sie Apps und Software produktiv schalten.

Denn die Überforderung der Entwickler ist eine häufige Ursache, warum AppSec-Programme scheitern. Aber es zahlt sich aus, wenn Sie die Sicherheitsanforderungen langsam steigern, bis Ihre Entwicklerteams den Wert Ihrer Maßnahmen verstehen.

4. Implementieren Sie Sicherheitstests im gesamten App-Lebenszyklus

Wir empfehlen unseren Kunden, Tests in allen Phasen des Entwicklungsprozesses durchzuführen. Denn ein durchgängiger Feedback-Loop im SDLC mit den Sicherheitsteams minimiert Reibungsverluste und ermöglicht, dass Ihre Entwickler stets sichere Programme bereitstellen.

Wenn Sie sich weiter informieren möchten, wie Sie für Ihr Unternehmen eine erfolgreiche AppSec-Strategie auf Formel 1-Niveau etablieren können, lesen Sie unseren Leitfaden: Von Ad-Hoc-Maßnahmen zur fortgeschrittenen Anwendungssicherheit: Ihr Weg zu einem ausgereiften AppSec- Programm.


Über den Autor:

Portrait von Julian Totzek Hallhuber von VeracodeJulian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org (wie zum Beispiel WAFEC) mitgewirkt.