Die Sicherheit der eigenen Anwendungen optimieren
Es gibt verschiedene Maßnahmen, um die Anwendungssicherheit zu erhöhen und effektive Kontrollen einzuführen. Ein Überblick über die wichtigsten Möglichkeiten.
Beim Thema IT-Sicherheit geht es oft um wichtige Anforderungen und wesentliche Voraussetzungen, die erfüllt werden müssen, um bestimmte Ziele zu erreichen. Wie sehen die aktuellen Bedürfnisse Ihres Unternehmens aus Sicherheitssicht aus, welche Risiken bestehen und welche regulatorischen Vorgaben sind darüber hinaus einzuhalten? Genau um diese Punkte dreht es sich meistens, wenn es um IT Security geht.
Bei den aktuellen Anforderungen geht es auch häufig um Erwartungen. Das trifft ganz besonders auf den Bereich Anwendungssicherheit zu. In Anbetracht der zahlreichen Variablen, die beim Thema Application Security beachtet werden müssen, gibt es eine Reihe von Bedingungen, die auch über einen längeren Zeitraum hinweg eingehalten werden sollten.
Maßnahmen zur Verbesserung der Anwendungssicherheit
Ein Programm zur Verbesserung der Anwendungssicherheit in einem Unternehmen sollte deswegen Standards in den folgenden Bereichen setzen:
- Kontrollen für die Entwicklung und das Testen der in einem Unternehmen eingesetzten Software sowie die Integration von Sicherheitsmaßnahmen wie die OWASP Top 10 (Open Web Application Security Project) oder die Top 25 Most Dangerous Software Errors von CWE und SANS.
- Das Erstellen von Spezifikationen für die eingesetzten Plattformen sowie Standards für die verschiedenen genutzten Programmiersprachen. Dazu zählen Vorgaben für die zu verwendenden Betriebssysteme und über mindestens benötigte Konfigurationen. Das gilt sowohl für intern genutzte als auch für Systeme in Cloud-Umgebungen.
- Weitere Maßnahmen zum Monitoring und zur Kontrolle, die beschreiben, wie die verschiedenen Bereiche der jeweiligen Applikationsumgebung überwacht werden können, wie und wann Alerts entstehen, wie sie ausgewertet werden können und wie sich das gesamte System in die Anstrengungen des Unternehmens zur Incident Response einfügt.
- Erweitertes Testen auf Sicherheitslöcher und insbesondere Scans nach Schwachstellen sowie Penetration Testing. Dabei ist es wichtig, die richtigen Tools und Techniken einzusetzen, um auch wirklich alle Lücken in Webanwendungen, mobilen Apps und herkömmlichen Client-/Server-Anwendungen zu finden.
Diese grundsätzlichen Maßnahmen sollten darüber hinaus mit weiteren Schritten wie Threat Modeling und intensiven Schulungen der Mitarbeiter kombiniert werden.
Das gesamte Unternehmen muss eingebunden werden
Die hier beschriebenen Standards und Maßnahmen zur Verbesserung der Anwendungssicherheit müssen im gesamten Unternehmen und zusammen mit allen Mitarbeitern umgesetzt werden, um wirklich effektiv zu sein. Dazu zählen insbesondere die internen Teams zur Entwicklung, zur Qualitätssicherung und zum Testen der Sicherheit, aber auch externe Programmierer, Drittanbieter von im Unternehmen genutzter Software sowie Geschäftspartner und Kunden, die die Anwendungen dann in der Praxis einsetzen.
Nur in einer idealen Welt lassen sich alle diese Maßnahmen natürlich leicht umsetzen. Leider sieht es in der Realität meist ganz anders aus. Nur weil Standards und andere Anforderungen formuliert wurden, heißt das noch lange nicht, dass sie in der Praxis funktionieren. Das trifft besonders dann zu, wenn unabhängige Dritte an dem Prozess beteiligt sind, die sich außerhalb der direkten Kontrolle eines Unternehmens befinden. Das ändert aber nichts daran, dass Firmen Ziele definieren und bestimmte Maßnahmen anstreben sollten, wenn sie robustere und zugleich sicherere Anwendungen erhalten wollen.
Die beschriebenen Maßnahmen sind auch nicht nur in Anbetracht der verschiedenen Anforderungen sinnvoll. Sie sind auch nützlich, wenn es um geeignete Reaktionen nach einem Sicherheitsvorfall oder einem Diebstahl von Daten geht. Das letzte, was Sie dann nämlich benötigen, ist der Nachweis, dass Sie Ihre Sorgfaltspflichten bei der Absicherung Ihrer Anwendungen nicht eingehalten haben. Das gilt vor allem dann, wenn dieser Vorwurf von Seiten eines gegnerischen Anwalts kommen sollte. Oft wird gerade dieser Punkt vernachlässigt. Irgendwie scheint nie genug Zeit für das Thema Sicherheit zu sein, so dass konkret anfassbare Features häufig bevorzugt werden.
Die Kommunikation ist entscheidend
Sie sollten auf jeden Fall nicht zu lange warten und im Unternehmen baldmöglichst kommunizieren, dass auch dieser Aspekt der Anwendungssicherheit angegangen werden muss. Wie so oft gilt: Je früher, desto besser. Sich zuerst einmal immerhin einzugestehen, dass es beim Thema Anwendungssicherheit noch Probleme gibt, ist aber nur die halbe Miete. Der zweite Teil ist, sich auch wirklich um die gefundenen Probleme zu kümmern und sie schnell zu lösen.
Teilen Sie deswegen Ihre Gedanken und Vorschläge mit Ihren Kollegen und Ihren Vorgesetzten. Sie werden sehen, dass Sie damit kontinuierlich kleine Fortschritte machen, auch wenn Sie sich dabei manchmal vielleicht wiederholen müssen. Wenn Sie die verschiedenen Schwierigkeiten voraussehen und aktiv angehen, werden Sie schon in kurzer Zeit positive Resultate erzielen. Wenn Sie dagegen immer nur reagieren oder gar nichts unternehmen, ist es nur eine Frage der Zeit, bis jemand Ihnen und möglicherweise der ganzen Welt zeigt, wie viele Lücken sich in Ihrer Anwendungssicherheit befinden. Wie gesagt, es geht um die Anforderungen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!