olly - Fotolia
Maßnahmen für bessere Anwendungssicherheit
Anwendungssicherheit führt oftmals ein Nischendasein. Irrtümlicherweise sehen die meisten dieses Problem bei den Entwicklern, dabei ist es eine Frage des gesamten Unternehmens.
Viele Unternehmen unterschiedlicher Branchen verwenden Webanwendungen, um mit Kunden oder Interessenten zu interagieren. Dabei fließen im Rahmen von Vertragsabwicklungen mitunter personenbezogene Daten in beide Richtungen.
Ein Spiel mit dem Feuer, denn die Anwendungssicherheit wird der Brisanz der Daten oft nicht gerecht. Gerade in Java-Bibliotheken oder anderen Code-Schnipseln entdecken Cyberkriminelle immer wieder neue Lücken, die den Unternehmen durch ausbleibende Tests im Entwicklungsprozess nicht selbst auffallen. Wie der State-of-Software-Security-Report 2017 (SoSS-Report) ergab, enthalten 88 Prozent der Java-Anwendungen mindestens eine Komponente, die sie verwundbar macht.
Zusätzlich führen weniger als 28 Prozent der untersuchten 1.400 Firmen regelmäßig Analysen der Open-Source- und Third-Party-Komponenten in ihren Anwendungen durch. Es zeigt sich also, dass die dringend benötigten Testmechanismen während des Software Development Life Cycle noch längst nicht zum Standard gehören.
Weiterbildung für Programmierer
Die Schuld bei den zuständigen Programmierern zu suchen wäre zu leicht, denn die sind sich der Notwendigkeit sicherer Anwendungen eigentlich bewusst. Der AppSec and DevOps Trends Report 2017 zeigt, dass 62 Prozent der Anwendungssicherheit eine hohe Wichtigkeit einräumen. Dem gegenüber stehen nur 18 Prozent der Chefetage, die Sicherheit als wichtigstes Kriterium für die Bewertung ihrer Entwickler angeben.
Hier zeigt sich bereits das Ungleichgewicht in der Priorisierung. Auch die Aus- und Weiterbildungsangebote im Bereich Sicherheit werden von 86 Prozent der befragten IT-Profis als unzureichend erachtet. Darüber hinaus fehlt es bereits an den Grundlagen, denn 76 Prozent haben bereits in der Ausbildung keine Schulung zum Thema Sicherheit in der Anwendungsentwicklung absolviert.
Dabei zeigt sich, wie sich zusätzliche Bildungsressourcen positiv auf die Schwachstellenbehebung auswirken. Programmierer, die von ihren Arbeitgebern die Möglichkeit erhalten haben, sich per eLearning-Angeboten über Anwendungssicherheit zu informieren, konnten ihre Fehlerkorrekturrate um 19 Prozent steigern. Es lohnt sich für Unternehmen also, ihren Entwicklerteams die Möglichkeit zur Fortbildung zu geben.
Höhere Fehlerbehebung durch externe Hilfe
Wenn Entwickler (noch) nicht ausreichend geschult sind und somit die nötige Expertise vermissen lassen, ist es hilfreich, auf Beratungsfirmen zurückzugreifen, die sich auf Sicherheitstests spezialisiert haben. Sie sind in der Lage, die Fehler in den Anwendungen und in der Produktionsumgebung nicht nur zu identifizieren, sondern auch den Mitarbeitern durch nachhaltige Beratung die nötige Expertise zu vermitteln. Der genannte Report hat ergeben, dass diese Maßnahme die Raten bei der Fehlerbehebung in Unternehmen um 88 Prozent steigern konnte.
Probleme in der Entwicklung und Infrastruktur beheben
Eine Kette ist nur so stark wie ihr schwächstes Glied – das gilt auch im Unternehmen. Denn das Sicherheitsniveau seiner Anwendungen hängt entgegen den Vorstellungen mancher nicht ausschließlich an den Entwicklern. Fachabteilungen und das IT-Betriebsteam sind ebenfalls gefordert, ein höchstmögliches Sicherheitsniveau zu gewährleisten. Hierbei hilft der DevOps-Ansatz, der übergreifende Zusammenarbeit vorsieht. So lassen sich in den späteren Phasen des SDLCs (Software Development Life Cycle, Softwareentwicklungszyklus) Fehler erfassen, die während der Code-Entwicklung entstanden sind. Diese können dann ausgemerzt oder zumindest an die Entwickler zurückgespielt werden, um sie nachträglich umzuschreiben.
„Neben dem fehlenden Know-how der Entwickler spielt Cyberkriminellen auch die veraltete Infrastruktur in die Karten, die umfassende Sicherheit gar nicht erst zulässt.“
Julian Totzek-Hallhuber, Veracode
Die ganze Zusammenarbeit nützt allerdings auch nichts, wenn das Sicherheitsproblem bereits in der Produktionsumgebung liegt. Die Befragung hat ebenfalls aufgezeigt, dass eine alarmierende Anzahl an Servern, auf denen heutzutage Software läuft, unsicher ist.
Selbst wenn die Anwendungen an sich fehlerfrei sind, sind sie an die Sicherheitslücken des Servers gekoppelt. Dies beginnt schon bei normalen Abfragen, die mehr Serverdaten verraten, als notwendig, was Cyberkriminelle leicht ausnutzen können. Es hat sich bewährt, Serverinformationen von den Antworten zu bereinigen oder zumindest die Versionsnummer des Betriebssystems zu löschen. Dies ist allerdings erst bei 37 Prozent der Server der Fall. Zudem liegen knapp 19 Prozent der untersuchten Webseiten auf Servern, deren Einrichtung mindestens zehn Jahre her ist. Des Weiteren sind 25 Prozent der Webseiten auf Servern gelagert, die gemäß dem Common Vulnerability Scoring Systems (CVSS) mindestens einen Wert von sechs oder höher vorweisen.
Fazit
Es zeigt sich, dass Anwendungssicherheit ein vielschichtiges Problem darstellt. Neben dem fehlenden Know-how der Entwickler spielt Cyberkriminellen auch die veraltete Infrastruktur in die Karten, die umfassende Sicherheit gar nicht erst zulässt. Unternehmen sind also gefordert, ihren Mitarbeitern nicht nur die nötigen Kenntnisse zu vermitteln, sondern auch für die nötige technische Grundausrüstung zu sorgen, um ihre Tools und Drittanbieter-Komponenten angemessen auf Sicherheitslücken zu prüfen.
Außerdem gilt es, der gesamten Belegschaft klar zu machen, dass Sicherheit alle angeht. Nur so lässt sie sich während des gesamten SDLC sicherstellen und somit alle Anwendungen sicherer entwickeln.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!