- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Perfekte Sicherheit wird es nie geben


Schwachstellen in Web-Anwendungen:
In drei Schritten zu mehr Anwendungssicherheit
Es ist unmöglich, das gesamte Anwendungsportfolio frei von Schwachstellen zu halten



Dass Cyberkriminelle bevorzugt Schwachstellen in Web-Anwendungen ausnutzen, um in die Computersysteme von Unternehmen einzubrechen, ist kein Geheimnis. Dem "Data Breach Investigations Report" von 2015 von Verizon zufolge handelt es sich hierbei sogar um das häufigste Einfallstor bei Datendiebstählen. Die Verbesserung der Anwendungssicherheit ist deshalb eine Herausforderung, der sich alle Unternehmen stellen sollten. Julian Totzek-Hallhuber, Solution Architect bei Veracode, erläutert im Folgenden die drei notwendigen Schritte, um das Sicherheitskonzept auf Vordermann zu bringen.

1. Risiken erfassen – und angemessene Antworten finden
Hand aufs Herz: Perfekte Sicherheit wird es nie geben. Es ist unmöglich, das gesamte Anwendungsportfolio frei von Schwachstellen zu halten. IT-Verantwortliche müssen die verfügbaren Ressourcen deshalb kanalisieren und gezielt einsetzen. Die Grundlage hierfür bildet eine Strategie, die auf konkrete Risiken ausgerichtet ist – und nicht auf die Bewahrung der Illusion, dass ein System unverwundbar gemacht werden könne. Geschützt werden sollten vor allem solche Anwendungen und Teile der Infrastruktur, die von sicherheitskritischer Bedeutung sind.

Zunächst ist dazu eine Bestandsaufnahme von Nöten. Welche Anwendungen gibt es im Unternehmen – und auf welchem Entwicklungsstand befindet sich die Anwendungssicherheit? Sobald diese Fragen geklärt sind, können Richtlinien definiert werden. Diese legen fest, mit welchen Risiken das Unternehmen umgehen kann und welche es auf jeden Fall zu vermeiden gilt. Sie bilden die Basis für das weitere Vorgehen und bestimmen etwa, in welchen Bereichen die Entwickler besondere Trainings erhalten. Im Zentrum aller Bemühungen steht jedoch die Integration etablierter Tools, die dabei helfen, kritische Schwachstellen effizienter aufzuspüren und zu beseitigen.

2. Risiken beachten, die durch Anwendungen von Drittanbietern entstehen
Am ersten Tag ein Gast, am dritten eine Last: Dieses alte Sprichwort lässt sich häufig auch auf die Software von Drittanbietern übertragen. Selbst hauseigene Entwicklungen greifen häufig auf Komponenten zurück, die von externen Dienstleistern stammen oder unter einer Open-Source-Lizenz stehen. Ein solches Vorgehen ist zumeist kostengünstiger, als das Rad neu zu erfinden. Es birgt aber das Risiko, dass man sich mit dem fremden Code auch Sicherheitslücken ins Haus holt.

Um Entwicklern zu helfen, produktiver zu arbeiten und die Anwendungssicherheit dabei nicht aus den Augen zu verlieren, sollten IT-Verantwortliche ihnen einen Informationsvorsprung verschaffen. Zum Beispiel indem sie eine Technologie implementieren, die Informationen über die Komponenten von Drittanbietern sowie über die darin entdeckten Sicherheitslücken bereithält und Anwendungen markiert, die von diesen Schwachstellen betroffen sind.

3. Die richtigen Erfolgsmaßstäbe etablieren
Woher wissen IT-Verantwortliche, dass ihre Pläne aufgehen und ihre Maßnahmen greifen? Metriken und KPIs sollten bei allen Bemühungen zur Verbesserung der Anwendungssicherheit im Zentrum stehen. Denn nur wer die wesentlichen Erfolgsmaßstäbe im Blick behält, kann fundierte Entscheidungen treffen. Detaillierte Statistiken und Analysen helfen auch, ein breites Bewusstsein für die Bedeutung der Anwendungssicherheit zu schaffen – etwa bei Entwicklern, Budgetverantwortlichen und Mitgliedern der Unternehmensführung. Auf einige Metriken sollte ein besonderes Augenmerk gelegt werden:

Richtlinienkonformität: Richtlinien reflektieren, welche Risiken ein Unternehmen unbedingt vermeiden will. Veracode empfiehlt, innerhalb des Anwendungsportfolios konsistente Richtlinien durchzusetzen. Eine mögliche Richtlinie wäre etwa, dass alle Web-Anwendungen frei von den in der OWASP-Top-10-Liste genannten Schwachstellen sein müssen.

Zahl der gefundenen Mängel: Diese Metrik erfasst die Zahl der gefundenen Schwachstellen, die in Applikationen gefunden werden – SQL-Injections, Cross-Site-Scripting (XSS) oder kryptographische Unzulänglichkeiten. Sie lässt vor allem Rückschlüsse darauf zu, in welchen Bereichen Entwickler Nachholbedarf haben und durch gezielte Trainings gefördert werden können.

Erfolgsquote: Wie viele der gefundenen Schwachstellen können am Ende auch beseitigt werden? Die Erfolgsquote ist ein Gradmesser für die Qualität der etablierten Mechanismen und erlaubt es, die Ressourcenallokation besser zu steuern.

Unternehmensspezifische Erfolgsmaßstäbe: Nicht alle sinnvollen Metriken besitzen universelle Gültigkeit, manche gelten lediglich in speziellen Zusammenhängen. IT-Verantwortliche sollten deshalb nach Erfolgsmaßstäben suchen, die die innerhalb ihres Unternehmens geltenden Prioritäten optimal abbilden – etwa die Zahl der automatisiert getesteten Anwendungen oder durchgeführten Trainings.

Fazit: Anwendungssicherheit ist kein Hexenwerk
Um die Anwendungssicherheit im Unternehmen zu verbessern, benötigt die IT zwei Dinge: die richtige Strategie und die richtigen Tools. Risiken müssen erfasst, Erfolgsmaßstäbe etabliert werden. Vor allem aber gilt es, Sicherheitslücken in kritischen Anwendungen zuverlässig zu identifizieren und zu beseitigen. Wer die oben genannten Schritte vollzieht, kommt diesem Ziel schnell näher.
(Veracode: ra)

eingetragen: 18.09.16
Home & Newsletterlauf: 10.10.16


Veracode: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.