Applikationssicherheit: Unsichere Software ist existenzielle Bedrohung

Sie sind versucht, Ihr Budget für Tests zur Applikationssicherheit zu kürzen, um Verluste durch den Shutdown zu decken? Vergessen Sie dabei aber nicht, dass kompromittierte Systeme eine weit größere existenzielle Bedrohung werden können.

Messer fallen lassen und Hände weg vom AppSec-Budget! 

Nehmen wir an, das Amt für Wasserversorgung stünde vor einer plötzlichen Krise, die den Aufbau einer neuen Infrastruktur erfordert. Wenn man nun versuchen würde, die damit verbundenen Kosten durch den Wegfall der Wasseraufbereitung zu decken, würden Sie vermutlich am Verstand des Abteilungsleiters zweifeln. Zu Recht. Wen würde es kümmern, ob die Wasserversorgung aufrechterhalten oder ausgeweitet wird, wenn man das Wasser nicht unbedenklich trinken kann? Sicherheit für Kosteneinsparungen zu opfern, ist nie eine gute Idee.

Trotzdem ist die Denkweise in der digitalen Welt durchaus verbreitet. Dabei können Sie ganz ähnlich argumentieren wie im obigen Beispiel. Nämlich dann, wenn die Unternehmensführung erwägt, das Budget für Tests zur Anwendungssicherheit auszuhöhlen, um Verluste durch die wirtschaftlichen Folgen von großflächigen Shutdowns zu decken. Ja, deren Folgen sind real. Sie erfordern umfangreiche Anpassungen, die niemand je für nötig gehalten hätte. Millionen von Menschen sind arbeitslos geworden, die Wirtschaft schrumpft und Unternehmen müssen erhebliche Kosten einsparen, um zu überleben. Aber um angemessen mit der Situation umzugehen, muss man Prioritäten setzen. Und eine der höchsten Prioritäten sollte der Schutz von Assets sein, die, sollten sie kompromittiert werden, eine noch größere existenzielle Bedrohung für ein Unternehmen darstellen als ein vorübergehender wirtschaftlicher Niedergang es tut.

 

Unsichere Software ist gefährlich 

Heutzutage sind Software-Sicherheitstests die digitale Version der Wasserreinigung. Software unterstützt die Anwendungen, die mit internen Systemen und den persönlichen wie finanziellen Daten Ihrer Kunden interagieren. Wenn solche Software nicht strenge Sicherheitstests durchläuft, finden Angreifer die inhärenten Schwachstellen und sind in der Lage geistiges Eigentum zu stehlen, vertrauliche und finanzielle Kundendaten offenzulegen oder die Finanzen des Unternehmens zu plündern.

Das wiederum führt zu einer ganzen Reihe von schwerwiegenden Folgen: die Marke wird beschädigt, es kommt zu Rechtsstreitigkeiten, zum Verlust von Marktanteilen oder zu Sanktionen wegen Nichteinhaltung gesetzlicher Bestimmungen und so weiter. Genug, um ein Unternehmen zu schwächen, das bereits in Schieflage geraten ist.

 

Riesige Chance für Cyberkriminalität

Die meisten Cyberkriminellen sind finanziell motiviert, und sie beherzigen die inzwischen berühmt gewordene Ermunterung von Rahm Emanuel, dem ehemaligen Bürgermeister von Chicago und Spitzenbeamten der Regierung: »Man darf eine Krise niemals ungenutzt verstreichen lassen. Cyberkriminelle haben sich das nicht zweimal sagen lassen. Das FBI berichtete kürzlich, dass die Zahl der Meldungen an das Internet Crime Complaint Center (IC3) um 300 bis 400 % gestiegen sind, von etwa 1.000 auf 3.000 bis 4.000 pro Tag. Zu den Zielen von Cyberangriffen gehörte auch die Weltgesundheitsorganisation (WHO), die eine Verfünffachung der Angriffe gegen ihre Mitarbeiter und E-Mail-Betrügereien gegen eine breite Öffentlichkeit meldete.

https://www.synopsys.com/blogs/software-security/wp-content/uploads/2020/05/application-security-testing-budget-not-safe-to-drink.jpg

Die Small Business Administration (SBA) der USA meldete eine Sicherheitsverletzung, durch die personenbezogenen Daten von fast 8.000 Geschäftsinhabern offengelegt wurden, die staatliche Katastrophenkredite beantragt hatten. Ärzte und Krankenhäuser und selbst die NASA haben Spitzen bei COVID-19-bezogener Malware und Phishing-Angriffen gemeldet. Die Liste lässt sich beliebig fortsetzen – weltweit.

 

Arbeiten von zu Hause vergrößert die Angriffsfläche

Das allein wäre Grund genug, Tests zur Applikationssicherheit eine Priorität beim Budget einzuräumen. Aber es ist nicht der einzige. Mit dem plötzlichen Wechsel zu einer Work-from-home-Regelung (WFH) hat die Angriffsfläche vieler Unternehmen exponentiell zugenommen. In einer Büroumgebung ist es noch vergleichsweise einfach einen gewissen Sicherheitslevel aufrecht zu erhalten. Thomas Richards, Principal Consultant and Red Team Practice Leader bei Synopsys, erwähnte kürzlich, dass ein globales Unternehmen plötzlich vor der Aufgabe stand, Tausende von Notebooks für Mitarbeiter zu beschaffen, die zuvor an Desktops gearbeitet hatten. Neben der Beschaffung der Geräte habe es eine wahnsinnige Hektik gegeben, »diese zu konfigurieren und entsprechende Richtlinien zu entwickeln« – was der Erfahrung nach fast unweigerlich zu Fehlern führt.

In der Zwischenzeit waren diese Mitarbeiter, wie so viele andere auch, gezwungen, etliche Dinge online und ohne den gewohnten persönlichen Kontakt zu erledigen, wie etwa die Zusammenarbeit über Videokonferenzplattformen, die ihre ganz eigenen Sicherheitsschwachstellen haben. Ein gefundenes Fressen für Cyberkriminelle.

 

Zunehmend komplexe Software erhöht das Risiko

Ein weiterer Grund, warum Tests zur Applikationssicherheit Priorität haben sollten, liegt darin begründet, dass es ebenso schwierig wie wichtig ist moderne Software zu schützen. Wenn man hier alles richtig machen will, muss man konsequent Zeit und Geld investieren. Moderne Software wird immer komplexer, denn sie setzt sich aus Hunderten oder Tausenden von Komponenten (proprietären, Open Source, kommerziellen) zusammen und ist über ein riesiges Netz von Software-Lieferketten miteinander verbunden. Neuere Technologien wie APIs und Microservices, Cloud Computing, Container, serverlose Computer, OSS-Komponenten und Frameworks tun ein Übriges. Viele Unternehmen sind längst nicht so versiert im Testen, Härten und Sichern dieser Technologien wie im Umgang mit Software noch vor einigen Jahren. All das vergrößert die Angriffsfläche.

Nur ein Beispiel: Die schnelle Einführung von White-Label-Integrationen bei Großhändlern wie Costco und Safeway durch Instacarts erreichte durch die Nachfrage nach »Personal Shoppern« eine Spitze von 150 % aufgrund von sogenannten »Shelter-in-Place«-Bestellungen. Hier werden Echtzeit-Lagerbestände mehrerer großer Einzelhandelsketten in eine App übertragen, die von den Verbrauchern durchsucht werden kann. Diese Informationen werden dann mit dem Mobiltelefon eines Instacart-Fahrers verbunden. Das ist mit ein paar Zeilen in Python – oder auch ein paar tausend Zeilen – nicht zu machen. Es erfordert eine enorme Menge an Code, der rigoros getestet werden muss, will man nicht in Gefahr laufen Ziel eines Hackerangriffs zu werden.

 

Tests für sichere Software-Anwendungen

Getreu dem nun schon bekannten Mantra »Man darf eine Krise niemals ungenutzt verstreichen lassen« lässt sich die aktuelle Situation aber auch nutzen, um die eigene Wettbewerbsposition zu verbessern. Wenn man Applikationssicherheit in die Arbeit der Produktteams integrieren will, müssen sich sowohl die Prozesse ändern als auch die vorherrschende Unternehmenskultur. Warum also nicht die Umstellung auf Remote Working als Anlass für Veränderungen nehmen und dabei das Gesamtrisiko senken? Dies ist durchaus Teil der Krisenbewältigung und stärkt langfristig die eigene Wettbewerbsfähigkeit.

https://www.synopsys.com/blogs/software-security/wp-content/uploads/2020/05/application-security-testing-budget-safetodrink.jpg

Die gute Nachricht ist, dass Tools und Services für sichere Software verfügbar sind, von der statischen Analyse über dynamische bis hin zu interaktiven Sicherheitstests, von der Software Composition Analysis (SCA) bis hin zu Penetrationstests am Ende des Software Development Life Cycle (SDLC). Die Sache hat nur einen Haken. Alle genannten Tools und Dienste sind gleichermaßen wichtig. Kein Tool kann alles. Man kann nicht einfach einen Knopf drücken und zusehen, wie alle Schwachstellen verschwinden. Es braucht Zeit, Expertise, gut ausgebildete Mitarbeiter und Investitionen. Jetzt mehr denn je.

Taylor Armerding, Synopsys

 

120 Artikel zu „Software Testing“

Neue Softwareplattform revolutioniert den 34 Milliarden-Markt des Software-Testing

Tricentis und QASymphony fusionieren – Meilenstein im Continuous Testing.   Tricentis und QASymphony geben Ihre Fusion unter dem Namen Tricentis bekannt. Die marktführende Continuous-Testing-Plattform von Tricentis hat sich als De-facto-Standard etabliert und wird von Analysten weltweit anerkannt. QASymphony wird als die führende Test-Management-Lösung betrachtet. Das kombinierte Angebot bildet die modernste Plattform für Software-Testing und befeuert…

Automobil-Branche: Software-Testing (k)eine Kernkompetenz der Hersteller

In fünf Jahren sei die Hälfte der Wertschöpfung im Auto digital, prognostizierte Audi-Chef Rupert Stadler auf dem Wirtschaftstag 2015 in Berlin. Software und Apps zu entwickeln gehört jedoch nicht zu den traditionellen Kernkompetenzen der Autohersteller. Um den Anforderungen einer digitalisierten Gesellschaft gerecht zu werden, führt für OEMs dennoch kein Weg daran vorbei. Hersteller haben daher…

Softwareinvestitionen kritisch für das Überleben des Mittelstands nach der Coronakrise

Die Digitalisierung in Deutschland kam bisher eher schleppend voran. Ausgerechnet eine weltweite Pandemie ist jetzt der Anlass um in Sachen digitale Transformation Vollgas zu gegeben. Softwareinvestitionen wurden erhöht und für das Überleben von Unternehmen notwendige Software gekauft. So geben laut der aktuellen Capterra-Studie ein Drittel der befragten Unternehmen an, dass die angeschaffte Software kritisch für…

Rollen der Software-Entwicklungsteams ändern sich

Veränderte Zuständigkeiten: Fast 70 % der Operations-Teams bestätigen, dass Entwickler ihre eigenen Umgebungen bereitstellen können.   Die aktuelle DevSecOps-Umfrage von GitLab zeigt, wie sich die Rollen in Software-Entwicklungsteams verändert haben, seit immer mehr Teams DevOps nutzen [1]. Die Umfrage unter mehr als 3650 Teilnehmern aus 21 Ländern weltweit ergab, dass der zunehmende Einsatz von DevOps…

Die größten Kostenfallen in der Softwareentwicklung  … und was man dagegen tun kann

Die New Economy der frühen 2000er kündigte sich noch mit einem Donnerschlag an – man denke nur an die Fintechs, die mit ihrer technologiegetriebenen Entwicklung angetreten sind, den Finanzsektor auf den Kopf zustellen. Weitgehend unbemerkt erreicht diese Revolution mittlerweile auch die traditionellen Branchen. So hat selbst Volkswagen angekündigt, seine Marke in Zukunft über die Software…

Neue Software-Exposure-Plattform für anspruchsvolle Industrie 4.0- und IoT- Umgebungen

Checkmarx bleibt auf Wachstumskurs und startet mit größerem Team in der DACH-Region durch. Checkmarx, einer der weltweit führenden Anbieter im Bereich Software-Security, verzeichnete im Geschäftsjahr 2018 ein Umsatzplus von 60 Prozent. Das Rekordergebnis geht in erster Linie auf das starke Neukundengeschäft zurück: Checkmarx gewann 2018 weltweit über 400 neue Enterprise-Kunden. Die Lösungen sind heute bei…

QA und Testing im Jahr 2019: In fünf Schritten zur erfolgreichen Automatisierung

Aus dem neuesten World Quality Report (WQR) geht hervor, dass eine gute User Experience bei IT-Entscheidern auf der Prioritätenliste ganz oben steht [1]. Um diese zu erreichen, wird vermehrt mit Technologien wie künstlicher Intelligenz (KI) und Machine Learning (ML) experimentiert. Gerade Testing-Prozesse sollen durch Automatisierung effizienter gestaltet werden. Doch der WQR zeigt auch, dass 2017…

Softwareentwicklung und Fahrzeugtechnik: Sprints treffen auf Integrationsstufen

Wie funktioniert die Kommunikation zwischen einem Ingenieur und einem Softwareentwickler? Für das Internet der Dinge verschmelzen oft Welten. So treffen Abteilungen aufeinander, die vorher nur wenig Schnittstellen hatten. Das agile Arbeiten in 2- oder 10-wöchigen Sprints ist nicht vergleichbar mit den Konstruktionsprozessen eines maschinellen Produkts – könnte man meinen. Erfahren Sie, wie Spannungen zwischen Bereichen…

Geschäftlicher Erfolg mit Online-Testing: Bessere Kundenerlebnisse durch kontrollierte Digitalexperimente

Unternehmen, die geschäftlich erfolgreich sein wollen, müssen ihre Kundenbeziehungen anhand empirischer Daten gestalten. Wer nur auf sein Bauchgefühl hört oder wie gewohnt vorgeht, wird beim digitalen Wandel schnell abgehängt. Unternehmen sollten kontrollierte Digitalexperimente zur DNA ihres Geschäfts machen.   Manchmal haben kleine Dinge eine große Wirkung. Auf der führenden Mobilitätsplattform AutoScout24 ging es beispielsweise darum,…

Effiziente Softwareentwicklung ohne Automatisierung unmöglich – Geschwindigkeit der Cloud-Trends setzt Unternehmen unter Zeitdruck

Applikationen beziehungsweise Software und deren kontinuierliche Weiterentwicklung stehen bei einer wachsenden Zahl von Unternehmen zunehmend im Mittelpunkt – und das nicht nur bei IT-Unternehmen. Durch das Voranschreiten der Cloud-Technologien wird dieser Trend noch verstärkt. Unternehmen sind darauf angewiesen schnell und zu vertretbaren Kosten permanent ihre Software anzupassen und zu verbessern. Dies erhöht den Druck auf…

Agiles Web Testing und Monitoring durch automatisierte symptombasierte Fehlersuche

Wird das digitale Qualitätsmanagement durch Lean Testing revolutioniert? Leankoala aus Hamburg bietet mit seiner gleichnamigen Software eine Methode für das Testen und Monitoring von Websites, die auf dem Markt einzigartig ist. Die neue Lösung folgt dem sogenannten Lean-Testing-Ansatz, indem sie Websites auf relevante, geschäftskritische Eigenschaften durchsucht, statt alle möglichen Fehlerursachen zu überprüfen. Somit lassen sich…

DataOps und integrierter Datenschutz: Plattform für agile und gesetzeskonforme Software-Entwicklung

Die EU-Datenschutzgrundverordnung (DSGVO) macht strenge Vorgaben, bei deren Umsetzung sich Entwickler und Tester gleich drei Vorteile verschaffen können – mit dem Einsatz der DataOps-Technologie.   Ab dem 25. Mai 2018 müssen Unternehmen Daten von EU-Bürgern nachweislich anonymisieren und pseudonymisieren. So schreibt es die EU-Datenschutzgrundverordnung (DSGVO) vor. Der Software-Entwicklung bleibt daher nur die Option, Daten irreversibel…

DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein

Hindernis für die Integration von Sicherheit in die gesamte Softwareentwicklung sei laut der weltweiten Studie die bestehende Unternehmenskultur.   Im Zentrum der weltweiten Studie »Integrating Security into the DNA of Your Software Lifecycle« von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden.…

Continuous Testing: Unternehmen in Deutschland und weltweit haben Nachholbedarf

Nur jedes fünfte Unternehmen setzt auf automatisiertes Testing.   Obwohl 75 Prozent der Unternehmen weltweit Continuous Testing innerhalb ihrer IT-Umgebung als wichtig erachten, ist nur eine Minderheit der Befragten in der Lage, automatisierte Tests auch umzusetzen und damit die digitale Transformation weiter voranzutreiben. Das geht aus der weltweit durchgeführten Studie »Continuous Testing as a Digital…

IT-gestützte Aufwandsabschätzung: Softwaretool hilft IT-Projekte richtig zu kalkulieren

Welchen Aufwand ein geplantes IT-Projekt erfordert, lässt sich oft schwer vorhersagen – erfolgreiche Schätzungen stützen sich in der Regel auf Erfahrungen aus früheren Projekten. Eine neue Methodologie und Software nutzt diesen Umstand, indem sie die Schätzungen hunderter Experten als Basis für die Berechnungen nutzt. Kombiniert mit Versionierung und einem iterativen Vorgehen ist sie auch bei…

60 Prozent der Unternehmen wenden bei der Softwareentwicklung keine Sicherheitstests an

Entwickler sehen Sicherheit gegen Cyberangriffe als Top-Priorität. 40 Prozent der Unternehmen setzten schon bei der Softwareentwicklung auf Sicherheitstests. Das ist ein Ergebnis einer aktuellen Umfrage von Veracode unter Entwicklern und IT-Führungskräften aus Deutschland, dem Vereinigten Königreich und den Vereinigten Staaten [1]. Die Studie unterstreicht, wie wichtig es ist, im Zeitalter von DevOps Entwickler bei Sicherheitsthemen…

High Performance Applications – DevOps für bessere Entwicklung und Bereitstellung

Wer DevOps aktiv praktiziert ist in der Lage, von Beginn an leistungsfähigere Software zu entwerfen: Probleme können schnell ausgemerzt und hochleistungsfähige Anwendungen eingesetzt werden. Ein effizientes Performance-Testing-Modell zu schaffen, geht im Idealfall mit vier Schlüsselattributen einher: Ausweitung der Leistungstests auf neue Rollen, Integration in den CI/CD-Prozess, End-to-End-Leistungsüberwachung sowie kontinuierliche Optimierung. Mark Levy, Director of Strategy…

BOM: Open-Source-Risiken (immer) im Auge behalten

Es ist kaum anzunehmen, dass Oberstufenschüler ihrem Berufsberater »Chief Inventory Officer« als ihren persönlichen Traumberuf vorschlagen – falls es diesen Titel überhaupt gibt. Er klingt auf jeden Fall kaum nach Glamour, Prestige oder aufregender Tätigkeit – vielmehr nach eintöniger Arbeit wie in noch nicht komplett vergangenen Tagen: mit dem Klemmbrett im Warenlager.   Dennoch ist…

Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei. Kennen Sie Jeremy aus dem…