Markus Härtner

ist Vice President DACH bei dem Sicherheitsanbieter F5 Networks GmbH.

Sichere Einführung von Apps

Immer mehr mobile Anwendungen fordern neue Aspekte bei der Sicherheit. silicon.de-Blogger Markus Härtner von F5 erklärt das wie und warum.

Mittlerweile sind 31 Prozent aller Unternehmensanwendungen mobile Apps, Tendenz steigend. Damit steigen auch die Sicherheitsrisiken. Mehr als die Hälfte aller Befragten glauben, dass mobile Apps die Risiken stark oder sehr stark erhöhen, wie der F5-Ponemon-Report bestätigt.

Das alt bekannte Sprichwort “Zeit ist Geld” ist auch in diesem Fall der Hauptgrund für die Sicherheitslücken. Denn durch den wirtschaftlichen Druck, Anwendungen schnell zu veröffentlichen und Nutzern Zugang auf die Software von ihrem Arbeitsplatz aus zu geben, werden Sicherheitsstandards Kompromissen geopfert. Die Folge: Die Gefahr steigt, dass Unternehmen verwundbar für Cyberattacken werden.

Der Grund kann eine schlampige Programmierung sein, oder das Unwissen mancher Entwickler darüber wie ein sicherer Programmcode geschrieben wird. Hinzu kommen die ständig wechselnden Risiken, die einen deutlich höheren Testaufwand erfordern – und diese finden oftmals nur eingeschränkt oder überhaupt nicht statt. So gaben die Hälfte der Befragten in der F5-Ponemon-Umfrage an, dass ihre Organisationen Applikationen nicht auf Bedrohungen oder Schwachstellen (25 Prozent) prüfen oder Tests nicht fest eingeplant sind (23 Prozent).

Qualifizierte Entwickler und sichere Testprozeduren

Aber genau dies ist die Grundvoraussetzung für eine sichere App. Um die Sicherheit zu verbessern, sollten Unternehmen daher auf erfahrene und qualifizierte Anwendungsentwickler setzen. Gleichzeitig sollten sie sichere Designprozesse einhalten und sichere Testprozeduren befolgen, um Code manuell auf Sicherheitsmängel hin zu testen. Dazu sollten Unternehmen Tools zur statischen Codeanalyse verwenden, die Softwaresicherheitsanforderungen analysieren und speziell auf Sicherheit ausgelegte Testpläne und Testfälle erstellen.

Eine Möglichkeit, um die Anwendungssicherheit zu verbessern sind DevOps (Begriff setzt sich aus Development und IT-Operations zusammen). Mit diesem Ansatz sollen durch gemeinsame Anreize, Prozesse und Werkzeuge eine effektivere und effizientere Zusammenarbeit erzielt werden. DevOps stellen daher einen robusteren Weg dar, um Anwendungsentwicklungs-Lebenszyklen zu verbessern. Andere Unternehmen setzen auf Tenant-Isolation-Verfahren oder Modelle zur Trennung von Anwendungs-Traffic und -daten. Durch eine solche Datenisolation werden Daten, die auf physisch gleicher Hardware gespeichert sind, aber das Eigentum von unterschiedlichen Kunden sind, geschützt, ein (un)beabsichtigter Zugriff ist so nicht möglich.

Zwischenlösung virtuelles Patching

Um Risiken zu minimieren, die mit der Entdeckung neuer Sicherheitslücken im Zusammenhang stehen, lässt sich virtuelles Patching als temporäre Strategie nutzen. Es vermindert die Gefahr, dass Sicherheitslücken in Applikationen oder im System von Cyberkriminellen identifiziert und ausgenutzt werden. Dadurch sind Entwickler und die für die Sicherheit zuständigen Administratoren in der Lage, die Anwendungen und Systeme weiterlaufen zu lassen, bis ein Sicherheits-Fix entwickelt, implementiert und getestet ist. Allerdings stellt dieser Ansatz keine langfristige Lösung dar.

Risiken minimieren

Will ein Unternehmen Sicherheitsrisiken minimieren und die Zeit zwischen Entwicklung und Implementierung einer App verkürzen, muss es die Produkteinführungszeit von Updates verkürzen und Industriestandards einhalten. Gleichzeitig ist es im Zeitalter des Fachkräftemangels – der auch Spezialisten für Anwendungsentwicklung betrifft – immer wichtiger, Entwicklertalente zu fördern.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Darüber hinaus müssen Unternehmen gewährleisten, dass Entwickler Codierpraktiken einhalten, um Prozesse zu verbessern. Neben Penetrationstests gehören dazu auch größere Anwendungsauslieferungszyklen sowie der Einsatz von automatisierten Scan-Tools. Diese ermöglichen es, Applikationen auf Schwachstellen zu prüfen und das Laufzeitverhalten zu überwachen, wodurch Manipulationen erkannt werden können.

Werden Anwendungen in einer sicheren Umgebung ausgeführt, profitieren Unternehmen erheblich, gleichzeitig sorgt dies für eine bessere Nutzererfahrung. Die Überprüfung der Applikationen ist ein erfolgsversprechender Ansatz, um sensible Daten zu schützen, Ausfallzeiten zu minimieren und die Performance für Endnutzer zu maximieren.