Julian Totzek-Hallhuber

ist Solution Architect bei Veracode

Neue Rolle der Anwendungssicherheit

Die Art und Weise, wie Anwendungen entstehen und eingesetzt werden, verändert sich grundlegend. Viele Parteien wirken inzwischen an einer App mit,. Das hat erhebliche Folgen für die Sicherheit, warnt Julian Totzek-Hallhuber, Solution Architect bei Veracode.

Software frisst die Welt” – diese faszinierende Diagnose stellte Marc Andreessen vor fünf Jahren. Schon damals zog sie kaum jemand in Zweifel, aber die weitere Entwicklung hat unsere Erwartungen noch übertroffen.

Für Unternehmen sind Anwendungen mittlerweile nicht mehr nur “nice-to-have”, sondern ein unverzichtbarer Bestandteil ihres Geschäftsmodells. Ihr Funktionieren entscheidet maßgeblich über Erfolg und Misserfolg. Auch ihre Zahl steigt rasant: Unternehmen mit einem Umsatz von 500 Millionen US-Dollar und mehr haben heute im Schnitt 3079 Anwendungen im Einsatz. Durchschnittlich 600 dieser Anwendungen sind unverzichtbar, um den laufenden Betrieb aufrechtzuerhalten. Einige Branchen sind besonders stark von Software abhängig – Finanzdienstleister etwa haben gar 800 Anwendungen im Einsatz, auf die sie keinesfalls verzichten können.

Viele Anwendungen enthalten Open Source und Open Source enthält viele Fehler, daher, so die Experten von Veracode, nutzen die meisten Unternehmen Anwendungen mit Sicherheitsrisiken. (Bild: Veracode)
Viele Anwendungen enthalten Open Source und Open Source enthält viele Fehler, daher, so die Experten von Veracode, nutzen die meisten Unternehmen Anwendungen mit Sicherheitsrisiken. (Bild: Veracode)

Die Software erfüllt vielfältige Zwecke. Sie hilft bei der Interaktion mit Kunden und Partnern, aber zum Beispiel auch bei der Entscheidungsfindung, indem sie Daten aufbereitet und zur Verfügung stellt. Moderne Banken, Kraftwerke, Industrieanlagen oder sogar Militärsysteme funktionieren überhaupt nur, weil spezielle Anwendungen sie steuern. Auch kritische Infrastruktur wie etwa unsere Wasserversorgung oder der Notruf werden durch Software gestützt.

Anwendungen stehen im Kern der digitalen Transformation

“Jedes Unternehmen ist ein Software-Unternehmen” – bis zu diesem heute kaum noch anzuzweifelnden Leitsatz war es ein weiter Weg. Ausgangspunkt war das Bestreben, interne Geschäftsprozesse effizienter zu gestalten. Die ersten Anwendungen übernahmen zum Beispiel Rechenaufgaben, die vorher mit der Hand erledigt werden mussten. Dann kam jemand auf die Idee, die Software auch für die Interaktion mit Kunden einzusetzen. Ab diesem Punkt gab es kein Zurück mehr: Konsumenten gewöhnten sich an den neuen Komfort und weigern sich seither, auf ihn zu verzichten. Wenn ein Produkt oder Service den neuen Standards nicht entspricht, kann es deshalb nicht mehr am Markt bestehen.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Auch die Innovationsgeschwindigkeit steigt dadurch. Die Vorreiter einer Branche entwickeln ständig neue Features; alle anderen müssen schleunigst nachziehen, um den Anschluss und damit ihren Kundenstamm nicht zu verlieren. Die Anwendungsentwicklung nimmt folglich an Fahrt auf, der Trend geht klar zu immer mehr Releases in immer kürzerer Zeit. Es ist wichtig, dass hierbei die Sicherheit nicht auf der Strecke bleibt.

Neue Chancen, neue Risiken

Mit der zunehmenden Bedeutung von Software rückt auch die Anwendungssicherheit in den Mittelpunkt. Wenn Versorgungssysteme zusammenbrechen oder Unternehmen keine Umsätze generieren können, sobald unverzichtbare Anwendungen ausfallen, dann wächst die Bedrohung durch Cyberkriminelle.

Datendiebstahl, Erpressung mit Ransomware und DDoS-Angriffe sind nur einige der Risiken, denen sich Unternehmen ausgesetzt sehen. Kommt es zu einem Einbruch in eine Anwendung, bewegen sich die Kosten schnell in Millionenhöhe. Und die Zahl der Attacken steigt: Einer aktuellen Studie des Digitalverbands Bitkom zufolge wurden binnen der letzten beiden Jahre 51 Prozent aller deutschen Unternehmen Opfer eines Cyberangriffs.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Der klassische Perimeterschutz war noch nie wirklich geeignet, um Anwendungen zuverlässig zu schützen. Denn Sicherheitslösungen auf Netzwerkebene können Attacken auf Anwendungsebene nicht verhindern. Firewalls schützen nicht vor Angriffsmethoden wie SQL-Injections oder Cross-Site-Scripting (XSS). Hier bedarf es zusätzlicher Systeme, die für Sicherheit sorgen. Am besten beginnt der Anwendungsschutz schon während der Entwicklungsphase: Der geschriebene Code sollte automatisiert auf Schwachstellen abgeklopft werden, außerdem gilt es in die Anwendung integrierte Drittanbieter-Komponenten unter die Lupe zu nehmen. Diese führen nicht selten schwerwiegende Sicherheitslücken in die Software ein.

Um bestmögliche Sicherheit zu gewährleisten, müssen solche Sicherheitsmaßnahmen den gesamten Software-Development-Life-Cycle umfassen. Das erfordert zwar zusätzliche Investitionen, aber Nichtstun ist in diesem Fall die teurere Option. Niemand kann es sich heute noch leisten, auf Anwendungen zu verzichten – Gleiches gilt für die Anwendungssicherheit.



Julian Totzek-Hallhuber ist Solution Architect bei Veracode. Als Spezialist für Anwendungssicherheit mit mehr als 15 Jahren Erfahrung im IT-Sicherheitsumfeld, verfügt er über Expertise in den Bereichen Anwendungsentwicklung, Penetrationstests sowie Sicherheit von Webanwendungen. Zudem ist er Autor zahlreicher Artikel, regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org mitgewirkt. Veracode, ein führender Anbieter für Anwendungssicherheits-Tests, stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen.