Fünf Herausforderungen für die Anwendungssicherheit

Cloud-, Web- und mobile Anwendungen spielen für viele Unternehmen aus den verschiedensten Branchen eine bedeutende Rolle beim Vorantreiben ihrer Innovationsfähigkeit. Mit dem vermehrten Einsatz von miteinander vernetzten Technologien steigt jedoch auch das Risiko für potenzielle Angriffe von Cyberkriminellen, die sich über Sicherheitslücken Zugriff auf die IT-Infrastruktur verschaffen. Leider wird aufgrund der Vielzahl von Applikationen nur ein Bruchteil der Anwendungen auf Sicherheitslücken überprüft.

Unternehmen kommen langfristig nicht um eine Aufstockung ihrer Infrastruktur für Anwendungssicherheit herum. Arved Graf von Stackelberg, General Manager DACH und Director Central Europe von Veracode, sieht dabei besonders die folgenden fünf Herausforderungen:

  1. Verfügbarkeit von professionellem IT Security-Personal vs. ansteigende Zahl von täglich genutzten Anwendungen

Mobil- und Web-Anwendungen machen in deutschen Unternehmen mit jeweils 24 beziehungsweise 25 Prozent rund die Hälfte aller verwendeter Applikationen aus. Das ergab eine Studie von Veracode in Zusammenarbeit mit IDG Research. Außerdem werden allein in Deutschland jährlich rund 3.664 neue Applikationen entwickelt. Den damit verbunden Sicherheitsrisiken stehen allerdings nur eine geringe Anzahl von IT-Sicherheitsexperten entgegen, die versuchen, Angriffsvektoren möglichst schnell zu beseitigen. Unternehmen fehlen die Ressourcen, um all ihre Anwendungen ausreichend zu testen.

  1. Sicherheitsbewusstsein der Entwickler

Trotz der steigenden Anzahl verwendeter Applikationen werden nur rund zehn Prozent der neu entwickelten Anwendungen auf Sicherheitslücken getestet. Fast zwei Drittel aller deutschen Unternehmen testet Anwendungen sogar gar nicht auf kritische Schwachstellen wie SQL-Injections und Cross Site Scripting (XSS), und setzten sich damit einem unnötigen Sicherheitsrisiko aus. Hier wird dem Thema Anwendungssicherheit also häufig nicht die nötige Bedeutung zugestanden.

  1. Weiterbildung der Mitarbeiter

Sich den ständig verändernden Sicherheitsbedingungen auch unternehmensstrukturell anzupassen, ist einer der einfachsten Wege, Sicherheit zu gewährleisten. Dabei sollte aber unbedingt darauf geachtet werden, dass die IT-Security-Mitarbeiter entsprechend geschult werden. Ein gutes Trainingskonzept ist daher sehr wichtig – gerade bei häufiger auftretenden Problemen. Dabei sollten Mitarbeiter nicht nur auf bestimmte Attacken und Mängel trainiert werden, sondern eine umfassende konzeptionelle Schulung erhalten.

  1. Budget

Eine weitere Herausforderung für Unternehmen ist es, die Sicherheit aufrecht zu erhalten, obwohl nur geringe finanzielle Mittel zur Verfügung stehen. Um eine umfassende Sicherheit zu gewährleisten, benötigen Unternehmen im Jahr 2015 Schätzungen zu Folge 5,03 Millionen US-Dollar. Zur Verfügung stehen ihnen allerdings nur 1,7 Millionen. Laut der Veracode-Studie prognostizieren 46 Prozent der deutschen Unternehmen einen weiteren Anstieg der Ausgaben für die Absicherung intern entwickelter Unternehmensanwendungen.

  1. Zeit-Faktor

Je länger ein Unternehmen mit der Implementierung von Sicherheitslösungen wartet, desto höher steigt das Risiko für Cyberangriffe. Deshalb sollte der Faktor Zeit nicht aus den Augen verloren werden und Änderungen möglichst schnell umgesetzt werden. Im Durchschnitt steigt die Zahl der Anwendungen innerhalb eines Jahres um zwölf Prozent an – das entspricht etwa 362 neuen Applikationen. Entsprechend schnell sollten neue Anwendungen getestet werden, um Risiken vorzubeugen.

 

All diese Herausforderungen sind miteinander verknüpft. Sicherheitsprobleme können daher nicht gelöst werden, indem Unternehmen einfach nur mehr Geld in die Hand nehmen und mehr Personal einstellen. Sowohl Budget als auch Ressourcen sind zwar essenziell wichtige Voraussetzungen – dazu müssen aber Sicherheitsteams auch selbst kreativ werden, um trotz der steigenden Anzahl von Anwendungen eine sichere Umgebung zu gewährleisten.

Mit einer SaaS-basierten Plattform, die mehrere Analysetechnologien umfasst und diese über eine einzige Plattform verfügbar macht, kann ein Großteil der Herausforderungen bestritten werden. So können Unternehmen das Angriffsrisiko auf der Anwendungsebene reduzieren: von der Entwicklung über die Pre-Production bis hin zum tatsächlichen Betrieb. Je früher Schwachstellen in diesem Zyklus identifiziert und ausgebessert werden, desto günstiger und sicherer ist dieser Prozess. Zudem schafft ein SaaS-Ansatz die notwenige Skalierbarkeit um alle Anwendungen im Unternehmen zu testen. Zusätzlich werden die notwendige Expertise und das fehlende Sicherheits-Know-how zur Verfügung gestellt, um wichtige Prozesse einzuführen und ein schnelles Beheben von Angriffspunkten zu gewährleisten.

infografik Veracode Top-5 Herausforderungen web und mobile apps