Security bei IT-Anwendungen: Die Fehler bei IT-Sicherheit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


27.10.2010 Christiane Pütter*

Security bei IT-Anwendungen: Die Fehler bei IT-Sicherheit

Die Technik ist bei IT-Sicherheit nur die halbe Miete. Entscheidend sind auch klare Kommunikationsregeln zwischen Entwicklern und Security-Verantwortlichen.

Eine Kette ist immer nur so stark wie ihr schwächstes Glied - und das schwächste Glied in Sachen IT-Sicherheit scheint der Mensch zu sein. Das legt zumindest die Studie "Securing your applications" nahe, für die der US-Marktforscher Aberdeen Entscheider aus mehr als 150 Unternehmen befragt hat. Fazit: Den Unterschied macht weniger die Technik als vielmehr Kommunikation und Schulungen.

Dabei weisen die Analysten ihre Studienteilnehmer, wie bei Aberdeen üblich, drei Kategorien zu. Besonders erfolgreiche Firmen dürfen sich "Best in Class" (Bic) nennen. Sie stellen 20 Prozent des Feldes. Die Unternehmen mit den schlechtesten Ergebnissen gelten als "Laggards", deutsch: Trödler. Dazu zählen 30 Prozent der Befragten. Die verbleibenden 50 Prozent bilden das Mittelfeld.

In dieser Studie ging es speziell um Sicherheit rund um IT-Anwendungen. Die Unterschiede zwischen den Befragten zeigen sich wie folgt: Die Bics senkten die Zahl Applikations-bezogener Sicherheitsverletzungen binnen Jahresfrist um 2,2 Prozent. Die Firmen im Mittelfeld dagegegen verzeichneten einen einprozentigen Anstieg, die Nachzügler sogar einen Anstieg um knapp neun Prozent. Außerdem gingen Anwendungs-bezogene Audit-Mängel bei den Bics um 3,3 Prozent zurück. Das Mittelfeld musste hier einen Zuwachs von 2,2 Prozent hinnehmen, die Laggards um 8,6 Prozent.

Darüberhinaus verringerten die Vorzeigefirmen die Dauer für die Fehlerbehebung um 3,8 Prozent, während die Durchschnittsfirmen 1,9 Prozent mehr Zeit brauchen. Bei den Nachzüglern dauert die Fehlerbehebung 7,6 Prozent länger.

Diese Diskrepanzen resultieren vor allem aus der Art, wie Unternehmen die Sicherheit von IT-Anwendungen managen. So stellen 71 Prozent der Bics (Mittelfeld: 57 Prozent, Trödler: 50 Prozent) ein Team oder einen Einzelnen ab, der dieses Thema verantwortet. Außerdem definieren zwei von drei Bics Kommunikationskanäle zwischen Sicherheitsverantwortlichem, Operations und Entwicklungs-Team (Mittelfeld: 49 Prozent, Laggards: 47 Prozent).

Kommunikation wird demnach groß geschrieben bei den Vorzeigefirmen. Die anderen Studienteilnehmer haben das zumindest in einem Punkt verstanden: Bei Sicherheitsschulungen und -Trainings. Hier unterscheiden sich die Zahlen kaum: 41 Prozent der Bics, 39 Prozent des Mittelfeldes und 38 Prozent der Nachzügler schulen das Bewusstsein ihrer Entwickler für mögliche Gefahren und schicken sie in Security-Trainings.

Beim Einsatz von Tools zur Wahrung der Sicherheit von Applikationen liegen Netzwerk-Firewalls, Intrusion Detection/Prevention und Network Vulnerability Scanner vorn. Außerdem sind Tools für Penetration Testing und Application Vulnerability Scanner im Einsatz.

Schutz von Unternehmen und Marken Die Analysten haben außerdem nach den Treibern für Initiativen rund um Anwendungssicherheit gefragt. Aus dem Bereich Risk Management nennen die Studienteilnehmer folgende: Schutz von Unternehmen und Marken (Bics: 61 Prozent, alle anderen: 52 Prozent) und vertrauensbildende Maßnahmen gegenüber dem Endverbraucher (Bics: 58 Prozent, alle anderen: 35 Prozent). Erst an dritter Stelle nennen sie die Notwendigkeit, Anwendungen vor Risiken zu schützen (Bics: 31 Prozent, alle anderen: 25 Prozent).

Die anderen Gründe fasst Aberdeen unter dem Stichwort Compliance zusammen. Das sind: Interne Policies (Bics: 33 Prozent, alle anderen: 32 Prozent) und Branchen-Standards beziehungsweise Best Practices. Hier liegen die Musterschüler hinter den anderen Studienteilnehmern - 28 Prozent der Bics gegenüber 39 Prozent aller anderen kreuzen diesen Punkt an.

Weitere Treiber sind Vorgaben von Regierungen, wie - über alle Kategorien hinweg - mit 22 Prozent gut jeder Fünfte zu Protokoll gibt. 22 Prozent der Bics nennen außerdem Regularien der Branche (alle anderen: dreizehn Prozent).

Anwendungssicherheit ist komplex Die Hauptschwierigkeit bei der Sicherheit ihrer Anwendungen sehen alle Befragten in der Komplexität dieses Unterfangens. Wie Aberdeen berichtet, verfügt ein Unternehmen im Schnitt über ein Portfolio von 130 Applikationen - Tendenz steigend.

* Der Autor ist Redakteur des deutschen CIO.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • catWorkX GmbH

    catWorkX GmbH mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: