Sechs Mythen gefährden die Applikationssicherheit

Nichts ist wichtiger als die Sicherheit Business-kritischer Applikationen. Im Schadensfall gelangen Daten in unbefugte Hände, die Reputation leidet und enttäuschte Kunden wechseln zur Konkurrenz. Trotzdem ergreifen Manager und IT-Verantwortliche nicht die notwendigen Sicherheitsmaßnahmen, kritisiert René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security. Der Sicherheitsexperte entzaubert sechs irreführende, weit verbreitete Mythen, die die Sicherheit jedes Unternehmens gefährden.

Anzeige

 

Die Gefährdungslage der IT verschärft sich zunehmend und ist zudem vielschichtiger geworden. Erfolgt ein Angriff, verhindern Unternehmen mit bestehenden Schutzmaßnahmen zwar meist einen größeren Schaden. Wie sie die Sicherheit ihrer Applikationen aber weiter signifikant erhöhen können, erklärt Bader in den folgenden sechs Mythen.

 

Anzeige

Mythos 1: Cyberkriminelle attackieren die Infrastruktur, Applikationen stehen kaum im Fokus

Dieser Mythos ist leider ein weit verbreiteter Irrglaube. Untersuchungen haben ergeben, dass mehr als die Hälfte aller Angriffe über das Applikations-Layer erfolgen. Das siebte OSI-Layer, die Anwendungsschicht, wird durch klassische Firewalls aber gar nicht geschützt. Empfehlenswert ist, kritische Geschäftsanwendungen durch eine Application Firewall zu schützen, die Input, Output und Zugriffe auf externe Dienste kontrolliert und gegebenenfalls blockiert, wenn sie nicht der in der Application Firewall konfigurierten Policy entsprechen.

Applikationssicherheit setzt aber bereits bei der Entwicklung der Software an. Anwendungsprogrammierer sollten Best Practices folgen und erwiesenermaßen unsicheren Code und gefährdungsanfällige Programmierkonstrukte nicht mehr verwenden, damit Schwachstellen gar nicht erst entstehen können. Im gesamten Application Lifecycle spielt außerdem ein zeitnah durchgeführtes Patch-Management eine sehr wichtige Rolle (siehe Mythos 5).

 

Mythos 2: Penetrationstests reichen aus, die Anwendung ist sicher

Die meisten IT-Spezialisten glauben, dass ein erfolgreich absolvierter Penetrationstest die Sicherheit einer Anwendung nahezu garantiert. Das gilt für einfache Apps, aber nicht für komplexe Anwendungen, die viel Business- und Prozesslogik enthalten. Komplexe Applikationen mit vielen Stakeholdern sind durch Penetrationstests gar nicht vollständig austestbar. Entwicklungs-, Beschaffungs- oder Freigabeprozesse, an denen mehrere Geschäftseinheiten beteiligt sind, sollten deshalb unbedingt zusätzliche Security-Maßnahmen durchlaufen. NTT Security empfiehlt, sich an Software-Reifegradmodellen wie OpenSAMM zu orientieren, die Unternehmen helfen, eine auf ihr Geschäftsmodell abgestimmte Sicherheitsstrategie für Business-kritische Applikationen aufzusetzen.

Besondere Aufmerksamkeit benötigen selbst entwickelte Applikationen. Ein Beispiel: Über 70 Prozent der SAP-Funktionalitäten werden von den Kunden selbst programmiert. Der Hersteller übernimmt für Eigenentwicklungen aber keine Sicherheitsgarantie. Die mithilfe von Reifegradmodellen wie OpenSAMM aufgestellten Sicherheitsmaßnahmen sind deshalb bei eigener Software, für die der Kunde selbst die Verantwortung trägt, besonders wichtig.

 

Mythos 3: Sicherheitstools erledigen den Job, dann haben Cyberangreifer keine Chance

Viele Unternehmen verlassen sich zu sehr auf ihre Sicherheitstools, zum Beispiel auf das Patching oder das Konfigurationsmanagement. Tools sind wichtig, aber nur die halbe Miete. In der IT ist heute alles mit allem vernetzt. Die einzelnen Geschäftseinheiten aber sprechen zu wenig miteinander. Sicherheitsexperten, die auf eine ganzheitliche Sicherheitsstrategie achten, sollten bei jeder Neueinführung und bei jeder wichtigen Entscheidung mit am Tisch sitzen. Sonst benutzt jede Abteilung unkoordiniert ihre eigenen Tools und am Ende gibt es bei einem Sicherheitsvorfall viele enttäuschte Gesichter.

 

Mythos 4: Jeder Mitarbeiter ist für die Sicherheit selbst verantwortlich

Die gefährlichste Schwachstelle in Unternehmen sind die eigenen Mitarbeiter, betonen Sicherheitsexperten. Wichtig ist deshalb, durch regelmäßige Schulungen bei den Mitarbeitern ein Risikobewusstsein zu schaffen und über die aktuellen Angriffsvektoren zu informieren. Schulungen schließen nicht aus, dass sich Cyberkriminelle durch Social-Engineering-Techniken wie personalisierte Phishing-Mails Zugang zu sensiblen Daten verschaffen, aber sie erhöhen die Awareness und verringern das Risiko. Es gilt, sich jeden Klick auf ein Mail-Attachement zweimal zu überlegen und den gesunden Menschenverstand einzusetzen.

 

Mythos 5: Sicherheitspatches aufzuspielen dauert Stunden und Systeme sind nicht nutzbar

Im Durchschnitt stehen gefährdete, ungepatchte Applikationen mehrere hundert Tage im Netz, obwohl Schwachstellen bekannt sind und Cyberkriminelle jederzeit einen Angriff starten könnten. Das größte Sicherheitsleck für Applikationen sind ungepatchte Bibliotheken, so der Application Security Statistics Report 2018 (Vol. 13) von WhiteHat, einem Tochterunternehmen von NTT Security. Grund für dieses fahrlässige Verhalten ist der in vielen Firmen verbreitete Irrglaube, dass IT-Systeme beim Aufspielen von Sicherheitspatches ausfallen und nicht nutzbar sind: Kunden können möglicherweise Bestellsysteme nicht aufrufen, Mitarbeiter drehen Däumchen und dem Unternehmen entgehen dadurch Einnahmen.

Diese Annahme ist falsch. Sicherheitspatches können heute entweder im laufenden Betrieb aufgespielt werden oder bedingen nur eine kurzzeitige Abschaltung einzelner Komponenten. Eine weitere Alternative besteht darin, das nächtliche Wartungsfenster für die Patches zu nutzen.

 

Mythos 6: Wenn man gehackt wurde, ist nichts mehr zu machen

Einfacher gesagt als getan: Im Angriffsfall sollten Unternehmen auf jeden Fall Ruhe bewahren und durch unüberlegte Kurzschlussreaktionen nicht noch mehr Schaden anrichten. Es gibt Unternehmen, die nach einem Angriff den Netzstecker gezogen und dadurch die Festplatten-Controller zerstört haben. Für die Forensiker war es nicht mehr möglich, den Angriff zu rekonstruieren und im Nachhinein die Angriffsvektoren zu identifizieren. Ziel sollte sein, so viele Beweise und Daten wie möglich zu sammeln und schnellstmöglich die Hilfe professioneller Sicherheitsexperten einzuholen.

»Ein einziger, erfolgreich absolvierter Penetrationstest reicht nicht aus, um die Sicherheit von Applikationen zu gewährleisten. Das ist ein fahrlässiger Irrglaube. Meines Wissens gibt es keinen Penetrationstest, der nicht ein oder zwei kritische Schwachstellen aufweisen würde«, betont Bader und empfiehlt, sich an Reifegradmodellen zum Thema Applikationssicherheit wie OpenSAMM zu orientieren.

»Oft werden Sicherheitspatches nicht aufgespielt, weil dann angeblich Business-kritische Systeme wie Produktion oder Vertrieb für eine bestimmte Zeit ausfallen. Firmen gehen damit ein unkalkulierbar hohes Risiko ein«, berichtet Bader weiter. »Patches lassen sich aber auch im laufenden Betrieb aufspielen. Viele unserer Kunden machen das, vermeiden die Ausfallzeiten und es funktioniert sehr gut.«

 

3234 Artikel zu „Sicherheit App“

Woran uns der Whatsapp-Hack erinnert: Internetsicherheit ist Einstellungssache

Nur selten bekommt der gemeine Nutzer oder die Öffentlichkeit mit, wenn ein raffinierter Schädling sich verbreitet oder eine neue Sicherheitslücke aus der üblichen Masse heraussticht und ausgenutzt wird. Dankbar haben die Medien vorige Woche den Whatsapp-Hack aufgegriffen: Es wurde bekannt, dass sich über eine Sicherheitslücke bei dem Messenger-Dienst Schadsoftware auf dem Smartphone installieren lässt. Die…

Die Sicherheit muss zuerst kommen: Die wichtigsten Tipps für App-Entwickler

Unternehmen für App-Entwicklung, die sich einen Namen machen wollen, kommen nicht ohne ausführliche Recherche und Marktsondierung aus. Egal ob es darum geht, Business-Lösungen zu entwickeln oder Apps für alle möglichen privaten Anwendungsbereiche. Unabhängig vom Projekt sollte man eine Sache zuerst angehen nämlich Cybersicherheit. Es liegt schließlich auch im Interesse des Entwicklers App auf den Markt…

BSI warnt vor Sicherheitslücke in Apple-Betriebssystem

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer schwerwiegenden Sicherheitslücke im Apple-Betriebssystem macOS 10.13 (High Sierra), die es ermöglicht, sich ohne die Eingabe eines Passwortes mit vollen administrativen Rechten auf einem diesem System anzumelden. Bei betroffenen Computern können mit dem Nutzernamen »root« und einer leeren Passwortzeile Sicherheitseinstellungen überwunden werden, indem mehrfach auf…

Die zehn größten Risiken für Web-Applikationen: neue Sicherheitslage für Web-Anwendungen

Erstmals seit vier Jahren hat die Non-Profit Organisation Open Web Application Security Project (OWASP) die größten Risiken für Webanwendungen, die sogenannten OWASP Top 10, aktualisiert [1]. Die OWASP Top 10 richten sich an Entwickler, Sicherheitsberater, Projektmanager, Sicherheitsbeauftragte von Unternehmen und Organisationen und klären über die Konsequenzen der wichtigsten Sicherheitslücken bei Web-Anwendungen auf. Die Daten beruhen…

Nur knapp die Hälfte der Unternehmen schult Mitarbeiter regelmäßig zur IT-Sicherheit

Fast drei Viertel sehen IT-Sicherheit als Basis für eine erfolgreiche Digitalisierung. Tendenz: Leichte Fortschritte bei IT-Sicherheitsmaßnahmen gegenüber 2016. Aber: IT-Sicherheitsverantwortliche sehen weiterhin hohen Verbesserungsbedarf, insbesondere bei Technik und Organisation.   Nicht einmal jedes zweite Unternehmen in Deutschland (46 Prozent) schult seine Mitarbeiter regelmäßig zur IT-Sicherheit; immerhin 18 Prozent planen solche Schulungen. Das ist ein deutlicher…

Vier gewinnt: Warum die Verwendung von App-ID die IT-Sicherheit deutlich erhöht

Der Netzwerkverkehr war früher leichter zu verwalten. Ports und Protokolle korrelierten direkt mit den entsprechenden Anwendungen. Das Blockieren eines Ports bedeutete das Blockieren einer Anwendung. Die Natur von Anwendungen hat sich zwischenzeitlich jedoch massiv verändert. Sie sind immer schwieriger exakt zu identifizieren und spielen immer seltener nach den »Regeln«. Ports lassen sich nicht mehr Anwendungen…

Banking-Apps: Sieben Sicherheitslöcher pro App

Untersuchung zeigt: Mobile Bankanwendungen sind hochgefährdet. 500 Millionen Nutzer weltweit betroffen. Pradeo Lab, ein Unternehmen im Bereich Sicherheit von Terminals und mobilen Anwendungen, hat 50 Apps der Top-100-Banken weltweit auf Sicherheitslücken hin überprüft. Das Ergebnis ist alarmierend: Jede Anwendung weist im Durchschnitt sieben verschiedene Gefahrenstellen auf. Keine einzige überprüfte App ist ohne Sicherheitsmangel. Gerade für…

Sicherheitsrisiken von Online-Dating-Apps für Unternehmen

Neue Studie unterstreicht Risiken von Online-Dating-Apps auf unternehmenseigenen und BYOD-Geräten. Pünktlich zum Valentinstag hat Flexera Software eine neue Application-Readiness-Studie zum Thema Online-Dating-Apps veröffentlicht [1]. Der Report verdeutlicht das Risiko für Unternehmen, deren Mitarbeiter Online-Dating Apps auf unternehmenseigenen oder auf BYOD-Geräten (Bring-Your-Own-Device) nutzen. Für die Studie wurden 25 Apple iOS Apps getestet, mit den folgenden Ergebnissen…

Sicherheitsrisiko durch illegale Apps

DarkSideLoader verwendet Signierungszertifikate von Unternehmen für illegale App Stores. Die IT-Security-Experten von Proofpoint fanden auf mobilen Geräten von Angestellten Apps, die es im Apple App Store nicht gibt. Sie stammen aus einem illegalen Store, der eine Million kostenpflichtige Apps kostenlos zur Verfügung stellt. Dabei wird eine Methode genutzt, mit der Apps über einen Unternehmens-Store per…

Die fünf größten Risiken durch »Schatten-Apps«

Die Nutzung von Apps ist weit verbreitet, stellt die Sicherheitsverantwortlichen in Unternehmen aber vor große Herausforderungen. Firmen verlieren schnell die Kontrolle über ihre Daten und riskieren Verstöße gegen rechtliche Regelungen und Compliance-Vorgaben, warnt der Sicherheitsspezialist Virtual Solution. Fünf Beispiele zeigen, wie gefährlich es ist, wenn Unternehmen den Wildwuchs mobiler Schatten-IT nicht eindämmen. Mitarbeiter kommunizieren heute…

Sicherheit (managen) ist keine One-Man-Show

Die Lösung: Ein kooperativer Ansatz, um Sicherheit in Organisationen zu verwirklichen. Vertrauen gehört zu den erfolgskritischsten Faktoren für Organisationen in der heutigen Zeit. Das Vertrauen von Kunden, Mitarbeitern und Partnern will gewonnen und behalten werden. Neben professionellen Services ergibt es sich zumeist aus nicht-eintretenden Sicherheitsvorfällen und einem umfassenden Schutz der Organisations- und Kundeninformationen. Letzterer wird…

Protected App sichert Zugriffe auf unternehmenskritische Zielsysteme

Sicherheitssoftware-Anbieter Bromium ist auf der it-sa in Nürnberg erneut als Mitaussteller am Stand von Computacenter vertreten. Im Mittelpunkt der Produktpräsentationen steht mit Protected App eine Lösung, die Zugriffe auf kritische Unternehmensapplikationen auf Basis einer Hardware-isolierten Virtualisierung schützt. Das Problem ist altbekannt: Mit dem Internet verbundene Arbeitsplatzrechner sind immer der Gefahr einer Kompromittierung ausgesetzt. Wird von…

DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe

Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.

Reiseunternehmen Sales-Lentz nutzt die Sophos XG-Firewall aus der Cloud – Sicherheit für Mobilität aus der Cloud

Mobilität ist eines der großen Themen unserer Zeit. Das Reisen von A nach B ist heute ein komplexes Unterfangen, das – digital eingebettet – nicht nur ein Erlebnis für die Reisenden selbst, sondern auch für deren virtuelles -Publikum ist, organisatorische Höchstleistung mit sich bringt und auch bei privaten Reisen zu einem professionellen Maß an Effizienz gelangt ist. Mobilität entwickelt sich in rascher Geschwindigkeit weiter und ist große Aufgabe für Infrastruktur und Sicherheit.

State of Cybersecurity Report: Gesteigertes Sicherheitsbewusstsein

Die digitale Transformation treibt Unternehmen dazu, ihre Sicherheitsmaßnahmen zu überdenken. Immer mehr konzentrieren sich IT-Experten auf IoT und Cloud und entwickeln eigene Systeme zum Schutz gegen Cyberbedrohungen.   Der Report »State of Cybersecurity Report 2019« von Wipro Limited unterstreicht die wachsende Bedeutung der Cyberabwehr für Unternehmen, den CISO als neue Rolle im Vorstand und belegt…