Computerwelt: Aktuelle IT-News Österreich


Zahlreiche Schwachstellen in Apps

F5 Networks ruft Unternehmen auf, sich intensiver mit der Sicherheit ihrer Web Apps zu befassen. Während sie sich hauptsächlich um die Geschwindigkeit der Entwicklung, Performance und Nutzungsraten kümmern, vergessen sie oft die Absicherung ihrer Anwendungen.

Web Apps erhöhen Kundenzufriedenheit und Produktivität, aber auch Gefahren.

Web Apps erhöhen Kundenzufriedenheit und Produktivität, aber auch Gefahren.

© Denys Prykhodov - shutterstock.com

"Die gleichen Apps, von denen die Geschäftstätigkeiten abhängen, enthalten häufig auch Schwachstellen, die das Business gefährden", sagt Ralf Sydekum, Technical Manager DACH bei F5 Networks. "Wir sprechen dabei nicht über kleine Fehler, die ausgeklügelte cyberkriminelle Techniken erfordern, sondern über alltägliche Lücken, die Hacker quasi automatisch ausnutzen können. Dieses Szenario ist viel häufiger als die schlagzeilenträchtigen, spektakulären Angriffe."

Drei Angriffswege
Hacker untersuchen Webseiten in der Regel über automatische Tools auf mögliche Fehler. Die 10 häufigsten bekannten Schwachstellen sind dabei für 85 Prozent der erfolgreichen Angriffe verantwortlich. Daher kann jedes Unternehmen schnell zum Opfer werden. Letztlich gibt es drei mögliche Angriffswege: 

  • Die Apps sind auf Code-Level unsicher: Es ist deutlich einfacher, Entwickler für ein Security by Design weiterzubilden und damit Probleme im Vorhinein zu vermeiden, als Fehler im Nachhinein zu beheben. Trotzdem folgen nur wenige Unternehmen dem Prinzip des Secure Coding. Eine Umfrage unter App-Entwicklern zeigte bei der Mehrheit nur ein unzureichendes Verständnis der grundlegenden Sicherheit. Das ist nicht überraschend, da die Hälfte weniger als einen Tag Sicherheitstraining in ihrer Karriere hatte. Das Management setzt bei der Budgetierung andere Prioritäten.
  • Schwachstellen werden zu spät erkannt: Fast jede Woche wird eine neue Zero-Day-Schwachstelle entdeckt. Trotz Security by Design können Apps Fehler enthalten. Um diese Sicherheitslücken schneller als die Hacker zu erkennen, sind umfangreiche Tests nötig. Gemäß Veracode bestehen weniger als 40 Prozent der intern entwickelten Apps die Sicherheitsanforderungen beim ersten Test. Von Drittanbietern erstellte Anwendungen schnitten mit 28 Prozent sogar noch schlechter ab. Dabei gibt es zahlreiche Tools zur Prüfung von Apps.
  • Sicherheitslücken werden zu langsam behoben: Gemäß WhiteHat Security benötigen mehr als die Hälfte der Unternehmen mindestens 200 Tage, um Sicherheitslücken zu schließen. Zwei Drittel davon beheben nur 40 Prozent der identifizierten Schwachstellen. Die lange Zeit von über sechs Monaten und die unvollständige Behebung geben Hackern genügend Raum, sensible Daten auszulesen, Apps zu manipulieren oder andere Schäden zu verursachen.

Die beste Strategie
Unternehmen sollten daher eine Web Application Firewall (WAF) installieren, um das Ausnutzen von Schwachstellen bei Web-Traffic (HTTP/S) und Web-Anwendungen zu verhindern. Viele WAFs integrieren sich mit Scanning-Services für Web-Application-Schwachstellen, um ein automatisches Patching zu ermöglichen. Inzwischen gibt es auch WAF-as-a-Service, um den beträchtlichen Management-Aufwand an erfahrene Dienstleister auszulagern. 

Damit erhalten Unternehmen mehr Zeit für strategische Sicherheitsthemen. Diese ist nötig, da die Budgets für IT-Sicherheit häufig in falsche Kanäle fließen. Öffentlich verfügbare Web-Apps bilden die häufigste Ursache für Sicherheitsvorfälle, laut dem 2016 Report on Application Security des SANS Institute. Doch mehr als die Hälfte der Unternehmen (51 Prozent) geben nur 1 Prozent oder noch weniger ihres IT-Budgets für die Absicherung ihrer Apps aus – oder sie wissen gar nicht wie viel.

Unternehmen sollten sich aber bewusst sein, dass Apps die vorderste Front in der Begegnung mit Hackern bilden. 78 Prozent der Attacken dringen dabei über einfache, alltägliche Techniken ein. Daher ist die Ausstattung des Bereichs App Security mit genügend Budget sowie die Beschäftigung mit den genannten drei Punkten entscheidend, um das Risiko für die Geschäftstätigkeiten zu reduzieren.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: