Unsichere Anwendungen als Hackerparadies Unsichere Anwendungen als Hackerparadies - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.10.2015 :: Printausgabe 16/2015 :: Arved Graf von Stackelberg*

Unsichere Anwendungen als Hackerparadies

Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden.

Arved Graf von Stackelberg ist Director Central Europe bei Veracode.

Arved Graf von Stackelberg ist Director Central Europe bei Veracode.

© Veracode

Web-Anwendungen spielen in mehr als einem Drittel aller Cyber-Angriffe eine entscheidende Rolle, wie der aktuelle Verizon-Data-Breach-Investigations-Report zeigt. Und doch kümmern sich Unternehmen nicht ausreichend um die Sicherheit ihrer Anwendungen: Laut den US-Analysten bei Gartner geben Unternehmen weltweit mehr als zwanzigmal weniger Geld für Anwendungssicherheit aus als für den Schutz von Endpunkten. Dazu kommt, dass Anwendungssicherheit nicht leicht umzusetzen ist, denn es gibt keine branchenweiten Standards. Welche Auswirkungen ein Fehler maximal haben darf oder was überhaupt als kritischer Fehler gilt, werden Unternehmen erst einmal selbst beantworten müssen. Als Orientierung können jedoch Berichte wie der aktuelle Veracode-Report zur Lage der Software-Sicherheit dienen, die eine realistische Risikobewertung ermöglichen sollen. Veracode analysierte dazu über 200.000 Sicherheitstests in den letzten 18 Monaten.

WO STEHEN UNTERNEHMEN?

Einen möglichen Vergleichswert für Unternehmen bietet die OWASP Top 10-Liste. Sie führt die wichtigsten Sicherheitslücken in Web-Anwendungen auf, zusammengetragen von den Sicherheitsexperten des Open Web Application Security Projects. Überträgt man die Ergebnisse aus der OWASP-Liste auf verschiedene Branchen, so ergibt sich eine große Abweichung in der Erfolgsquote.

Regierungsorganisationen etwa bewegen sich am unteren Ende des Spektrums: Drei von vier Anwendungen der staatlichen Verwaltungen scheitern beim ersten Risikotest nach OWASP Top 10.

Ganz anders die Lage in der Finanzbranche und im produzierenden Gewerbe: Hier zeigt sich die Investition in Software über die letzten Jahre, die sich nun auszahlt. Mit jeweils 65 Prozent und 81 Prozent konnten beide Branchen die Mehrheit ihrer Lücken aktiv schließen.

Wahrscheinlich am meisten Sorgen sollten sich Unternehmen im Gesundheitssektor machen: 80 Prozent der getesteten Unternehmensanwendungen weisen kryptographische Fehler wie schwache Algorithmen auf. Noch schlimmer war jedoch die Rate, in der bekannte Fehler in der Gesundheitsbranche repariert wurden – gerade 43 Prozent.

SELBST IST DER CISO

Was können Unternehmen tun? Die Entwicklung auszulagern bringt jedenfalls nicht das gewünschte Ergebnis: Der aktuelle Veracode-Report zeigt, dass von Unternehmen selbst entwickelte Anwendungen sogar mit 37 Prozent etwas sicherer waren als die eingekauften mit 28 Prozent. Stattdessen wird klar: Anwendungssicherheit besteht aus einer Mischung von Einsicht und Tests. Ständige Tests, etwa über Nacht und während der Entwicklung, sparen zudem Kosten, da Fehler schneller gefunden werden.

Die kontinuierliche Pflege der Anwendungen ist der beste Weg, um bei einem Angriff nicht schutzlos dazustehen. Scans und ein Mix aus Testmethoden finden Schwachstellen, bevor Anwendungen in die Produktion wandern oder live geschaltet werden. Dieses Vorgehen ist nicht einfach und kann länger dauern als der einfache Schutz der Anwendung. Wenn die Analyse jedoch abgeschlossen ist, kann ein Unternehmen den effektiven Schutz wesentlich erhöhen.

* Der Autor Arved Graf von Stackelberg ist Director Central Europe bei Veracode.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: