Erfolgsfaktor App-Sicherheit

von Oktober 18, 2017

Sie haben Ihre Netzwerke und Hardware vor Bedrohungen abgesichert. Aber was ist mit der Sicherheit Ihrer Apps und Webseiten? Software ist in der digitalen Welt ein kritischer Erfolgsfaktor für jedes Geschäftsmodell. Unternehmen sollten auf die Anwendungssicherheit deshalb einen Fokus setzen.

Unternehmen sind heute darauf angewiesen, Software in immer kürzeren Zyklen zu entwickeln. Gleichzeitig finden auch immer mehr Anwendungen von Drittanbietern den Weg ins Unternehmen. Der hohe Wettbewerbsdruck erlaubt es nicht, das Entwicklungs- und Innovationstempo zu drosseln.

Sicherheit unter Hochdruck nicht vernachlässigen

Für viele IT-Verantwortlichen und Programmierer bedeutet das: Sie müssen immer schneller neue Anwendungen bereitstellen. Eine Studie von IDG ergab bereits 2014, dass 28 Prozent der Unternehmensanwendungen extern, lediglich 38 Prozent intern entwickelt sowie 34 Prozent von Softwarehäusern bezogen werden. Vielfach geht dabei Sichtbarkeit vor Sicherheit und Gründlichkeit.

In unserer Beratungspraxis stoßen wir häufig auf das Problem, dass unsere Kunden de facto von 30 bis 40 Prozent der Webseiten, die sie betreiben, gar keine Kenntnis haben. Entweder wurden sie schlicht vergessen – oder ohne Rücksprache mit den zuständigen Stellen angelegt.

Das zeigt, wie notwendig Anwendungssicherheitslösungen sind, die die gesamte Webpräsenz eines Unternehmens erfassen und schützen.

Sensible Daten wie Kronjuwelen schützen

Anwendungen für die Interaktion mit Kunden und Partnern spielen heute eine zentrale Rolle bei Businessentscheidungen. Häufig laufen wie selbstverständlich auch sensible Daten über solche Apps. Das IT-Marktforschungsunternehmen Gartner verglich die Implikationen für die Anwendungssicherheit einmal mit Kronjuwelen (die Daten) und einer Schatztruhe (die Anwendung). Cyberkriminelle machen sich diese Situation zu nutze.

Sie wissen, dass die Netzwerkschicht vermutlich gesichert und die Anwendungsschicht der Schlüssel zu wertvollen Daten ist. Doch auch die im Rahmen der Datenschutzgrundverordnung der EU drohenden Strafen machen höhere Sicherheitsstandards notwendig. Und mittlerweile fragen die Kunden vermehrt nach Anwendungssicherheit und Nachweisen, was die Anbieter für die Sicherheit der Daten unternehmen.

Mangelnde Anwendungssicherheit bedroht die Existenz von Unternehmen

„Auf der Basis von Anwendungen funktionieren kritische Infrastrukturen, unsere staatlichen Einrichtungen und Unternehmen. Deshalb sind sie Angriffsziele für diejenigen, die sie unterwandern möchten“, sagt Chris Wysopal, CTO und Mitbegründer von Veracode.

Mit der zunehmenden Abhängigkeit von Software für praktisch alle Geschäftsmodelle gewährleistet Anwendungssicherheit die Überlebensfähigkeit und die Reputation von Organisationen. Fehlerhafte und unsichere Software setzt ihre Daten und die ihrer Kunden Gefahren von Angriffen aus, die weit über den faktischen Schaden hinaus nachwirken.

Was Sicherheitslücken auf der Anwendungsschicht bedeuten, haben 2015 die Unternehmen VTECH und TalkTalk schmerzlich erlebt. Cybersecurity-Experten empfahlen Eltern nach einem Angriff auf die Plattform, die Online-Spiele der amerikanischen VTECH zu boykottieren. Der britische Telekommunikationsanbieter TalkTalk zahlte nach einer Cyberattacke rund 60 Millionen Pfund und verlor 95.000 Kunden.

Die Lehre daraus: Sie brauchen nicht nur Firewalls und Netzwerksicherheit; Sie müssen ebenso die Anwendungen schützen. Sie brauchen ein Anwendungssicherheitsprogramm, das Ihre eigenen und die zugekauften Apps absichert.

Verlassen Sie sich nicht auf Flickschusterei

„Wie eine schnell wachsende Stadt haben wir unsere Anwendungen zügig aufgebaut – ohne Rücksicht auf die Tatsache, dass sie in einer feindlichen Umgebung existieren“, sagt Chris Wysopal. Cyberkriminelle wissen, dass die Anwendungsschicht ein gutes Einfallstor für sie ist und Unternehmen oft nicht mithalten können. Entscheidend ist, ihrem Treiben einen Riegel vorzuschieben.

Verlassen Sie sich dabei nicht auf Sicherheits-Patches der Drittanbieter – sie kommen oft zu spät. Denken Sie nur an die vielen Vorfälle, bei denen Unternehmen bereits Opfer wurden, bevor sie eine Sicherheitslücke in einer Software schließen und ein Update installieren konnten. Nur ein Anwendungssicherheitsprogramm bietet das erforderliche Sicherheitsniveau.

App-Sicherheitsrisiken aktiv überwachen

Die Herausforderung besteht darin, dass die Sicherheitslevels bei Anwendungen oder Komponenten von externen Zulieferern nur schwer zu erfassen und aufzuspüren sind. App-Security-Lösungen können genau dies leisten:

  • Sie inventarisieren Open-Source-Code sowie Software-Komponenten und melden Sicherheitslücken, wenn diese entdeckt werden.
  • Sie helfen bei der Bewertung von Bedrohungen in Anwendungen von Drittanbietern mit einer Programmbibliothek zur Verwaltung und zum Aufspüren von Sicherheitsrisiken.

Mit den richtigen Werkzeugen versetzen Sie Ihre Sicherheitsteams in die Lage, den betroffenen Code schnell zu finden und zu aktualisieren, wenn eine neue Sicherheitslücke bekannt wird. Durch die proaktive Inventarisierung und Versionierung aller im Einsatz befindlicher Software und Apps können Sie schneller auf die kommenden Angriffe reagieren. Ansonsten müssen Ihre Sicherheitsteams immer schneller arbeiten als die Kriminellen. Und das ist ein Rennen, das Sie nicht dauerhaft gewinnen können.

App-Sicherheit muss ins Zentrum der digitalen Transformation rücken

Die Vernachlässigung der Anwendungssicherheit ist also ein riskantes Geschäft. Unternehmen laufen Gefahr, nicht nur Datenverluste oder Störungen in ihrem Geschäftsbetrieb zu erleiden, sondern auch Kunden zu verlieren oder Geldbußen zu zahlen. „Business as usual“ wird in der digitalen Welt deshalb nicht mehr ausreichen. In Zukunft muss die Anwendungssicherheit ins Zentrum aller Sicherheitsmaßnahmen treten. Wie Sie ein Anwendungssicherheitsprogramm einsetzen und verwalten, lesen Sie in unserer Anleitung: Von Ad-Hoc-Maßnahmen zur fortgeschrittenen Anwendungssicherheit: Ihr Weg zu einem ausgereiften AppSec Programm.


Über den Autor:

Portrait von Julian Totzek Hallhuber von VeracodeJulian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org (wie zum Beispiel WAFEC) mitgewirkt.