maciek905 - Fotolia
Das Sicherheitsrisiko bei Anwendungen minimieren
Bei allen Bemühungen um die IT-Sicherheit bleibt die Absicherung einzelner Applikationen oft auf der Strecke. Grund genug, die eigenen Abläufe auf den Prüfstand zu stellen.
Geschäftsprozesse werden in Software abgebildet. Dort werden die sensiblen Informationen erfasst, verarbeitet und gespeichert. An dieser Stelle existieren wohl auch die größten und häufigsten Sicherheitsbedrohungen, die für Cyberkriminelle eine willkommene Chance sein können.
Dennoch tun sich Unternehmen häufig schwer damit, die Sicherheitsrisiken in Anwendungen zu erkennen – geschweige denn, diese zu beheben. Dazu gehören beispielsweise Risiken wie SQL Injection auf der Anwendungsschicht bei mobilen oder Webanwendungen. Ebenso wie fehlende Updates, die Remote-Zugriffe auf Serverebene regeln oder auch Standardpasswörter auf Datenbankebene.
Nun hilft es wenig, die Schuld für Versäumnisse bei den Fehlern selbst oder den Angreifern zu suchen. Häufig sind die entsprechenden Anwendungstests in Unternehmen schlicht unzureichend. Prinzipiell geht es da um drei Kernbereiche:
- der Mangel an Sicherheitstests im Allgemeinen: Das gilt insbesondere für kritische Anwendungen, bei denen davon ausgegangen wird, dass sich jemand anderes um die Sicherheit kümmert.
- fehlende Schwachstellen-Scans: Hier wird häufig die Anwendungsschicht nicht richtig adressiert; und
- der Quellcode wird nicht untersucht: Hierbei treten oft Fehler zutage, die bei herkömmlichen Schwachstellen- und Penetrationstests nicht entdeckt werden.
Kommunikationsprobleme im Unternehmen
Zudem ist es um die Kommunikation zwischen den Beteiligten, sprich Entwicklern, Qualitätssicherung, Sicherheitsteams und Geschäftsführung, oftmals nicht zum Besten bestellt. Dabei treten häufig folgende Probleme auf:
- Es wird von Annahmen ausgegangen: Das gilt für Sicherheitsstandards, die möglichen Bedrohungen, sowie für die Durchsetzung von Richtlinien während der Softwareentwicklung und der Implementierung häufig gleichermaßen.
- Teilnahmslosigkeit: Wie oben erwähnt, wo davon ausgegangen wird, dass sich ein Provider oder Cloud-Anbieter um etwaige Probleme kümmert, gehen auch Entwickler in vielen Fällen davon aus, dass Sicherheitsmängel im Anschluss an ihre Aufgaben aufgedeckt werden. Beziehungsweise sogar erst, wenn ihr Code produktiv eingesetzt wird. Zu diesem Zeitpunkt Punkt kann es längst zu spät sein, die Fehler zu finden und zu beheben.
- Falsche Prioritäten: Beispielsweise, wenn sich technische Mitarbeiter im Rahmen ihrer Sorgfaltspflicht um die entsprechenden Ressourcen in Sachen Sicherheit bemühen, diese von der Geschäftsführung jedoch nicht zur Verfügung gestellt werden. Werden Führungskräfte dann von Dritten auf Sicherheitsprobleme hingewiesen, ist die Aufmerksamkeit meist größer. Bei auftauchenden Schwachstellen wird im Nachhinein häufig nicht das Gesamtbild gesehen.
Zudem scheint es in der Praxis bei einigen Entwicklern und Sicherheitsteams an der Kenntnis von entsprechenden Best Practices und Frameworks für die Softwaresicherheit zu mangeln. Exemplarisch seien hier die ISO 27034 oder auch die OWASP Top 10 angeführt. Oftmals wird ihnen allerdings auch nicht die Zeit zugestanden, derlei Standards und Praktiken in ihre Anwendungsentwicklung zu integrieren. Insbesondere, wenn Fachbereiche des Unternehmens zeitlichen Druck auf die Fertigstellung der Lösung ausüben. Darüber hinaus sind Schulungen in Sachen Anwendungssicherheit nicht so weit verbreitet.
Anwendungssicherheit verbessern
Es klingt banal, aber es ist von elementarer Bedeutung, die eigene Umgebung sehr gut zu verstehen. Das gilt für kritische wie risikoarme Anwendungen und die Informationen, die dort verarbeitet werden, ebenso wie für die Prozesse, in die sie eingebunden sind. Und dies gleichermaßen intern wie extern. Wenn Angriffsflächen übersehen werden, ist dies eines der sträflichsten Versäumnisse beim Sicherheits-Management.
Die Sicherheitsrisiken der eigenen Anwendungen zu kennen, ist ebenso wichtig. Das gilt für die technischen Schwachstellen, risikobehaftete Prozesse als auch für die mögliche Unterstützung durch Richtlinien. An der Festlegung entsprechende Prioritäten sollten möglichst frühzeitig alle relevanten Personen beteiligt werden. Eine Risikoanalyse rein aus der IT heraus, funktioniert nur solange, bis sie nicht mehr funktioniert.
Wenn Fehler und Schwachstellen in Anwendungen bekannt werden, muss etwas unternommen werden. Die entsprechenden Probleme gilt es zu priorisieren und auf allen verfügbaren Plattformen zu beheben. Bekannte Fehler, die nachweislich zu erheblichen wirtschaftlichen Risiken führen können, müssen entsprechend behoben werden.
Schuldzuweisungen innerhalb des Unternehmens helfen da niemandem weiter, ob es nun an mangelnden Budgets, entsprechender Disziplin oder schlicht der zur Verfügung stehenden Zeit gelegen hat. Wichtig ist, dass sich entsprechend um die Anwendungssicherheit gekümmert wird. Und da ist es entscheidend, dass es eine Struktur für die Applikationssicherheit im eigenen Unternehmen gibt. Ganz gleich, ob es sich nun um eine frühe Entwicklungsphase, den produktiven Betrieb oder die Wartung von Legacy-Anwendungen handelt. Sofern sie noch nicht besteht, gilt es eine entsprechende Struktur mit den richtigen Personen zu besetzen.
Anwendungssicherheit sollte als entscheidende, geschäftskritische Funktion betrachtet werden. Unabhängig davon, ob es sich um ein eigenständiges Programm oder einen Teil der gesamten Bemühungen um die IT-Sicherheit im Unternehmen handelt.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
