Applikationssicherheit mit den geschäftlichen Erfordernissen in Einklang zu bringen und dabei die Komplexität so weit als möglich zu reduzieren, ist alles andere als trivial. Konsolidierung verspricht, hier Abhilfe zu schaffen.

 

Die Cybersicherheitslandschaft entwickelt sich stetig weiter, und der Druck auf die Verantwortlichen wächst. Firmen suchen daher dringend nach Möglichkeiten, wie sie ihre Strategien zur Anwendungssicherheit am besten optimieren und rationalisieren können. Ein immer häufiger genutzter Weg ist hierbei die Konsolidierung der Toollandschaft. Ziel ist es, Ressourcen effizienter zu nutzen, aber auch das Risiko für das gesamte Applikationsportfolio zu reduzieren.

Laut einer von Synopsys kürzlich in Auftrag gegebenen Umfrage setzen 70 % der befragten Unternehmen über 10 verschiedene Tools zum Testen ihrer Anwendungssicherheit (Application Security Testing, AST) ein [1]. Dies zieht eine Reihe von unerwünschten Folgen nach sich:

• Schlechter AppSec-ROI: Unternehmen nutzen mehrere Lösungen, die sich in einigen Bereich sogar überlappen können. Das treibt die Kosten in die Höhe und bindet Ressourcen.
• Erhöhte Komplexität: Zu viele Tools verlangsamen den Entwicklungszyklus. Das bremst die Teams aus und führt dazu, dass sie unter Umständen Sicherheitsschritte überspringen.
• Fragmentiertes Risikobild: Viele unterschiedliche Tools produzieren eine Unmenge von unzusammenhängenden Ergebnissen. Die schiere Flut von Daten kann dazu führen, dass kritische Probleme leicht übersehen werden.

 

Diese Kombination belastet Entwickler und Sicherheitsteams gleichermaßen und lenkt den Blick auf Konsolidierungsinitiativen. Die Analysten von Gartner teilen diese Ansicht. Laut den Ergebnissen des Berichts »Top Trends in Cybersecurity-Survey Analysis: Cybersecurity Platform Consolidation« strebten 75 % der befragten Unternehmen im Jahr 2022 aktiv eine Anbieterkonsolidierung an. Ein deutlicher Anstieg, verglichen mit nur 29 % im Jahr 2020.

 

Was führt zu AppSec-Konsolidierung?

Ein komplexes oder unzusammenhängendes AppSec-Programm hat verschiedene Probleme zur Folge. Das können ein kaum zu rechtfertigendes Maß an Komplexität sein, ein nicht zu quantifizierendes oder verschleiertes Risikoniveau oder auch eine ineffiziente Zuweisung von Ressourcen. Vor diesem Hintergrund entsteht zwangsläufig ein unscharfes Bild, was die gesamte Risikolandschaft anbelangt.

Vor diesem Hintergrund ist es so gut wie unmöglich, zu einem bestimmten Zeitpunkt angemessene Entscheidungen zu treffen oder einen Überblick über die tatsächlichen Risiken zu bekommen. Wir sehen uns deshalb die drei genannten Faktoren, die viele Unternehmen zu Konsolidierungsmaßnahmen zwingen, etwas genauer an:

 

Schlechter AppSec-ROI

Firmen haben in unzählige Sicherheitstools investiert. Diese Sammlung von Tools treibt die Betriebskosten in die Höhe, unter anderem für Wartung, Support und Lizenzierung. Je mehr Tools im Einsatz sind, desto mehr Zeit und Ressourcen müssen Unternehmen für die effektive Bereitstellung und Pflege aufwenden. Auf der anderen Seite sind Entwicklungsteams gezwungen, sich mit unterschiedlichen Benutzeroberflächen vertraut zu machen, was häufig die Produktivität drosselt, und die Gefahr birgt, dass Sicherheitsschritte übersprungen werden. Dazu kommt, dass die verwendeten Tools nicht selten über ähnliche oder sogar überlappende Funktionen verfügen. Dies wiederum erhöht die Wahrscheinlichkeit, dass wichtige Ergebnisse übersehen werden, der Testprozess insgesamt beeinträchtigt wird und es länger dauert, bis Schwachstellen beseitigt werden.

 

Erhöhte Komplexität

Durch zu viele Tools im Entwicklungszyklus entstehen Reibungsverluste, die das Team leicht ausbremsen – und das in einer Zeit, in der alles immer noch schneller gehen soll. Wenn dann noch Tools von einzelnen Teams in Silos gekauft und implementiert werden, besteht zudem das Risiko, dass der gesamte Bereich der Anwendungssicherheit uneinheitlich geführt wird. Wenn außerdem die Richtlinien je nach Instrument und Team unterschiedlich umgesetzt und verwaltet werden, gilt das auch für die Risikobewertung und die Berichterstattung. Hinzu kommt der Mehraufwand bei der Implementierung und Durchsetzung von Richtlinien über sämtliche Tools und Teams hinweg.

 

Fragmentiertes Risikobild

Aufgrund der schieren Anzahl an Sicherheitstools werden immer mehr Tests gefahren, die eine Lawine von zu analysierenden Ergebnissen liefern. In den meisten Fällen beschränken sich die Testergebnisse auf die jeweiligen, punktuell arbeitenden Werkzeuge. Wenn Entwickler die Schwachstellen beheben wollen, bekommen sie unterschiedliche oder ineffiziente Anleitungen dazu. Unter diesen Voraussetzungen kann ein Entwickler nicht zuverlässig entscheiden, welches Problem er zuerst beheben sollte. Dadurch werden wertvolle Zeit und Ressourcen verschwendet. Sind die Ergebnisse dann noch auf verschiedene Tools verteilt, fehlt eine einheitliche Darstellung, eine »Single Source of Truth«, die das gesamte Geschäftsrisiko abbildet.

 

Der Weg zur AppSec-Konsolidierung

Tools und Anbieter konsolidieren, ROI verbessern

Wenn Unternehmen bereits 10 oder mehr AST-Tools verwenden, müssen die betreffenden Teams einen Weg finden, die vorhandenen Tools zu optimieren. Doch wie geht man hier vor. Am besten ermittelt man zunächst, welche Sicherheitstests für ein Unternehmen kritisch sind und wie man gewährleistet, dass diese abgedeckt werden. Wenn Firmen beim Thema Anwendersicherheit auf einen starken Partner setzen, der entsprechende Lösungen für mehrere der kritischen Testanforderungen anbietet, lässt sich auch die Zahl der Anbieter verringern. Das senkt die Arbeitsbelastung bei Beschaffung, Implementierung, Support, Sicherheit und Entwicklung.

Unterschiedliche Tools von einem Anbieter zu beziehen, löst zwar einen Teil des Problems, aber isolierte Implementierungen gleichen die Vorteile der Konsolidierung nicht gänzlich aus. Will man die komplette Implementierung straffen, braucht man Lösungen mit starken Integrationspunkten zwischen den unterschiedlichen Tools.

 

Sämtliche Bereiche konsolidieren, um die Komplexität zu reduzieren.

Die Implementierung einzelner, unterschiedlicher Tools in separaten Teams führt zwangsläufig zu Mehraufwand und uneinheitlichen AppSec-Programmen. Mit einer zentralen Richtlinienverwaltung haben Firmen die Möglichkeit, Sicherheitsrichtlinien einmal festzulegen und sie dann unabhängig von den verwendeten Tools für alle Anwendungen und Teams einheitlich durchzusetzen. Das erlaubt die komplette Durchsetzung der Richtlinien, senkt den Aufwand und gewährleistet einen standardisierten Sicherheitsansatz. Aber eine zentralisierte Richtlinienverwaltung hat noch einen weiteren Vorteil: Abteilungen und Teams können Tests und die Durchsetzung von SLAs für die Problembehebung automatisieren. Sicherheitstests werden dann nur bei Bedarf durchgeführt, was die Zahl unnötiger Scans verringert und Engpässe im Entwicklungsprozess vermeidet.

 

Konsolidierte Erkenntnisse für ein besseres Risikomanagement

Mit einem konsolidierten Ansatz bei der Auswahl von Anbietern und der Implementierung von Tools sowie einem zentralisierten Richtlinienmanagement erhält ein Unternehmen ein konsistentes Bild seiner Risiken. Das macht die Sicherheitslage insgesamt transparenter, weil es für alles das, was getestet, gefunden und behoben wurde, eine »Single Source of Truth« gibt. Diese einheitliche Ansicht ist vor allem für Entscheidungsträger hilfreich. Denn so lassen sich potenzielle Bedrohungen zügig entschärfen, die Zeit bis zum Audit verkürzen und neu auftretende Bedrohungen schneller beheben.

 

Konsolidierung ist nicht gleich Konsolidierung: Welcher Anbieter ist der richtige?

Sobald ein Unternehmen sich entschließt, die Konsolidierung in Angriff zu nehmen, ist der nächste logische Schritt die Evaluierung und Bewertung potenzieller Partner. Der Ausgangspunkt sollte die Suche nach einem Anbieter sein, dessen Portfolio die meisten oder sogar alle gewünschten AppSec-Anforderungen abdeckt. Im Idealfall kann der Anbieter noch bei einigen weiteren Detailfragen punkten:

• Die Vision des Anbieters der Wahl sollte kontinuierliche Innovationen einschließen (oder schon unter Beweis gestellt haben), um mit den aktuellen Entwicklungstechnologien und Cyberbedrohungen gleichermaßen Schritt halten zu können.
• Der Anbieter sollte in der Lage sein, einen breiten Angebotsbereich abzudecken, den Entwicklungsteams problemlos für sich übernehmen können.
• Die AST-Tools sollten das Anforderungsprofil in möglichst allen Bereichen abdecken, ohne dass man Abstriche bei der Funktionalität in Kauf nehmen muss.
• Kann der Anbieter seine Beständigkeit in Sachen Stabilität und Langlebigkeit unter Beweis stellen, so dass sich die Investition lohnt?
• Preis- und Lizenzierungsoptionen sollten flexibel gestaltet sein, damit sie sich an das Wachstum und den Zeitplan des jeweiligen Unternehmens anpassen lassen.
• Der Anbieter sollte ein gewisses Maß an Offenheit erlauben, das heißt, er sollte die Testergebnisse mehrerer unterschiedlicher Produkte, eventuell auch von unterschiedlichen Herstellern, zusammenführen können. Ziel ist es, einen Überblick über das Softwarerisiko zu bekommen und vorhandene AppSec-Investitionen zu schützen.

 

Fazit.

Zusammenfassend kann man sagen, Unternehmen sollten die AppSec-Konsolidierung vorantreiben, wenn sie komplexe Programme für die Anwendungssicherheit vereinfachen und gleichzeitig effizienter machen wollen. Dadurch sind Firmen im Idealfall in der Lage, ihre Ressourcen besser als bislang auszuschöpfen und das Gesamtrisiko zu verringern. Letztendlich sollten sich die Verantwortlichen für einen Anbieter entscheiden, der ein umfassendes Portfolio von bekannten und bewährten Lösungen bereithält, das den oben skizzierten Anforderungen entspricht. Dies erlaubt es, die Vorteile und den ROI einer Konsolidierungsstrategie voll auszuschöpfen.

Lucas v. Stockhausen, Sr. Director Sales Engineering International, Synopsys

 

[1] https://www.synopsys.com/software-integrity/resources/analyst-reports/state-of-devsecops.html?cmp=pr-sig