Categories: Sicherheit

Was bringt eLearning in der Anwendungssicherheit?

Unternehmensnetzwerke sind heute so sicher, dass sich Angreifer lieber auf eine leichtere Beute konzentrieren: Anwendungen. Denn mit einer einfachen Firewall-Appliance ist es hier nicht getan. Die Veracode-Studie zur Anwendungssicherheit “State of Software Security” macht die Probleme deutlich: vier von fünf Anwendungen, die in Skriptsprachen geschrieben wurden, haben mindestens eine schwerwiegende Sicherheitslücke. Vor allem PHP-Anwendungen sind betroffen.

(Bild: Shutterstock.com/Kirill Wright)

Doch wie lässt sich die Anwendungssicherheit erhöhen? Die Vorgaben des PCI-DSS geben dabei schon zwei Lösungsansätze vor: Unternehmen müssen ihren Entwicklungszyklus sichern und ihre Mitarbeiter weiterbilden. 84 Prozent der gehackten Unternehmen haben diese Anforderungen nicht erfüllt. Es ist der Druck, der Mitarbeiter immer wieder vor die Frage stellt, ob sie sich die Zeit nehmen, um Probleme nachhaltig in den Griff zu bekommen oder nur schnell das Nötigste lösen. Dieses Zögern kann die Sicherheit bereits gefährden. Es ist daher wichtig, von Anfang an das Management in die Trainingsplanung mit einzubinden: mit einem Lehrplan, einer Erwartungshaltung in Form von messbaren Zielen sowie einer Strategie für den Fall, dass die Ziele nicht eingehalten werden.

Trainingserfolge richtig messen

Sehr zur Verzweiflung vieler CISOs lässt sich Prävention schlecht messen. Es ist schwierig festzustellen, welche Schwachstellen sich möglicherweise hätten einschleichen können, aber dank der Weiterbildung des Entwicklers in sicherer Coding-Praxis entdeckt wurden. Am effektivsten ist es daher meist, Reparaturen zu messen, die an einem Stück Code vorgenommen wurden, das aus der Zeit vor dem Training stammt.

Eine weitere Herausforderung besteht darin, die individuelle Erfahrung eines Entwicklers und seine Lernerfolge durch die Weiterbildung mit der Fehlerrate der Software zu korrelieren, da für eine bestimmte Anwendung oft mehrere Entwickler verantwortlich sind. Ein brauchbarer Ansatz ist der Zusammenhang zwischen dem Einsatz von eLearning und verbesserten Fehlerraten.

Prozentuale Fixrate der Schwachstellen ohne und mit eLearning in Unternehmen (Bild: Veracode)

Wenn man die Rate zur Grundlage nimmt, in der Codefehler gefunden und repariert werden und Unternehmen mit eLearning-Programm beobachtet, so ergibt sich folgendes Bild: Unternehmen mit eLearning können 75 Prozent ihrer Schwachstellen reparieren, jene ohne eLearning nur 58 Prozent.

Loading ...

Bei Unternehmen, die an neuer Software arbeiten, misst man die Zahl der Fehler pro Megabyte neuem Code. Veracode hat diese Kennzahl bei vielen seiner großen und kleineren Kunden gemessen und konnte eine deutliche Steigerung feststellen: Unternehmen mit eLearning leiden unter 35 Prozent weniger Fehlern pro MB neuem Code als Unternehmen ohne ein solches Trainingsprogramm.

Dieser Befund legt nahe, dass eLearning mit einer besseren Fehlerrate korreliert. Es ist jedoch wahrscheinlich, dass zusätzliche Faktoren eine Rolle spielen, wie die effektive Umsetzung von Vorgaben zur Anwendungssicherheit oder der Einsatz von Remediation Coaching und Simulationen. Phishing ist ein gutes Beispiel: Vor dem Security Awareness Training, kurz SAT, kann ein Unternehmen eine Phishing-Simulation durchführen und messen, wie viele Mitarbeiter betroffen sind. Nach dem Training wird die Simulation wiederholt. Die Zahl der Opfer lässt sich mit einem SAT-Basistraining bereits um 50 Prozent reduzieren.

Weiterbildung funktioniert!

Weiterbildungen und Sicherheitstrainings helfen: Sie senken nachweislich das Risiko von Phishing-Angriffen bereits nach einem Training um die Hälfte. Mischungen aus Basis-Trainings zum Sicherheitsbewusstsein und spezialisierten rollenbasierten Trainings können die Reparaturrate von Schwachstellen um 30 Prozent verbessern sowie die neu eingeführten Fehler um 35 Prozent verringern.

Für den Erfolg dieser Trainingsprogramme ist es essenziell, Weiterbildung als kontinuierlichen Prozess zu begreifen – ob in Form von eLearning, mit persönlicher Anleitung oder in einem Mentorenprogramm – und diese Einstellung in der Unternehmenskultur zu verankern. Dabei helfen ein klares Bekenntnis des Managements zum Sicherheitstraining, persönliche Zielvereinbarungen, mögliche Zertifizierungen für Spezialisten sowie eine nachweisliche Messbarkeit des Trainingsprogramms, um Fortschritte klar zu zeigen.

Redaktion

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

3 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

3 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

3 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

3 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

3 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

3 Jahre ago