In drei Schritten zu skalierbarer Anwendungssicherheit

Anwendungssicherheit gewinnt zunehmend an Bedeutung, wird aber zugleich auch immer komplexer. Es bedarf einer intelligenten Strategie, um alle Anwendungen zu erfassen und Risiken systematisch zu senken. Kleine wie große Unternehmen, die ein eigenes Programm zur Anwendungssicherheit aufbauen wollen, sollten die folgenden drei Schritte befolgen.

Schritt 1: Bestandsaufnahme und Zieldefinition

Die Entwicklung einer nachhaltigen Strategie für Anwendungssicherheit beginnt mit einer Analyse des Status Quo. Auf diese Weise lassen sich Bedürfnisse ordnen und Prioritäten definieren. Eine Reifegradbeurteilung, möglichst basierend auf einem Branchen-Standardframework wie OpenSAMM, deckt Hochrisikobereiche auf und zeigt Lücken in der aktuellen Anwendungssicherheit. Professionelle Sicherheitsprogramme erfassen alle Anwendungen im Portfolio des Unternehmens; zu Beginn sollte man sich jedoch auf die wichtigsten Anwendungen und schwerwiegendsten Sicherheitsrisiken konzentrieren.

Web-Anwendungen erweisen sich hierbei oft als besonders gefährdet. Sie sind die bevorzugten Einfallstore von Cyberkriminellen. Laut des aktuellen State of Software Security Reports von Veracode beinhalten vier von fünf Anwendungen in Web-Skriptsprachen Schwachstellen, die zu massiven Angriffen führen können.

Nach der ersten Bestandsaufnahme gilt es, eine Roadmap zu entwickeln und zukünftige Fortschritte in der Anwendungssicherheit messbar zu machen. Zu diesem Zweck muss das Unternehmen Kennzahlen festlegen, an denen es den Erfolg seines Sicherheitsprogramms und die Sicherheit seiner Anwendungen messen will. Quartalsziele wie “Senke die Fehlerdichte um X Prozent” helfen später bei der Erfolgsmessung.

Schritt 2: Integration in den Software Development Life Cycle

Nach Bewältigung der Frühphase muss das Programm von den wichtigsten auf alle Anwendungen im Unternehmen ausgeweitet werden. Damit Anwendungen, die das Unternehmen selbst entwickelt, möglichst effektiv überprüft werden können, sollte der Prüfprozess in den Software Development Life Cycle (SDLC) eingebunden werden.

Auf diese Weise kann proaktiv für Sicherheit gesorgt werden – die Notwendigkeit nachträglicher Korrekturen entfällt. Auch eine Effizienzsteigerung ist hiermit verbunden: Es ist wesentlich einfacher und ressourcensparender, eine Schwachstelle bereits im Zuge der normalen Qualitätskontrolle zu beseitigen, als wenn das Leck erst nach der Produktion entdeckt wird und gestopft werden muss.

Eine Integration in den Software Development Life Cycle ist nur möglich, wenn Entwickler und Ingenieure in den Prozess eingebunden werden. Es gilt, ihnen die Vorteile des Vorgehens zu demonstrieren – zuverlässigeren Code und weniger aufwändige Fehlersuche in fertigen Anwendungen – sowie für einen möglichst effizienten Workflow zu sorgen, von dem alle Mitglieder des Teams profitieren. Sinnvoll ist es beispielsweise, die Assessment-Lösung in dieselben IDEs zu integrieren, die auch die Entwicklung nutzt.

Schritt 3: Auch externe Anwendungen überprüfen

Unternehmen entwickeln nicht nur eigenen Code, sondern sie greifen auch auf fremden zurück – in Form externer Anwendungen und Komponenten. Unternehmen, die für mehr Anwendungssicherheit sorgen wollen, müssen auch die Anwendungen externer Anbieter im Blick behalten und gewissenhaft prüfen.

Zwar testen die Anbieter ihren Code in aller Regel selbst auf Schwachstellen, verlassen sollte man sich hierauf jedoch nicht. Mit dem Finger auf andere zu zeigen, würde im Ernstfall nichts nützen. Allerdings sollte man auch hier proaktiv denken: Es lohnt sich für Unternehmen, klare Richtlinien für Drittanbieter zu schaffen. So können externe Anwendungen an denselben Standards gemessen werden wie die intern entwickelte Software.

Fazit

Drei Schritte sind notwendig, wenn Unternehmen ein Programm zur Anwendungssicherheit entwickeln wollen. Der Prozess beginnt mit einer ersten Bestandsaufnahme sowie der Entwicklung einer Roadmap und findet in der Integration der Prüfroutinen in den Software Development Life Cycle und der Ausweitung des Programms auf die Anwendungen externer Anbieter seine Vollendung. Am Ende sollten ausnahmslos alle Anwendungen, die ein Unternehmen einsetzt, in die Anwendungssicherheit eingebunden sein. Nur so kann ein Höchstmaß an Sicherheit garantiert werden.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

10 Monate ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

12 Monate ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

12 Monate ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

12 Monate ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

12 Monate ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

1 Jahr ago