5 Tipps für mehr AppSec-Budget

| Redakteur: Stephan Augsten

Um mehr vom IT-Budget zu bekommen, müssen Security-Teams richtig an die Entscheidungsträger herantreten.
Um mehr vom IT-Budget zu bekommen, müssen Security-Teams richtig an die Entscheidungsträger herantreten. (Bild gemeinfrei: 3D_Maennchen / Pixabay)

Im Ringen um einen Teil des IT-Budgets zieht die Anwendungssicherheit oft den Kürzeren, berichtet Veracode mit Blick auf den „State of Software Security Report“. Fünf Tipps sollen Security-Verantwortlichen dabei helfen, eine höhere Ausbeute zu erzielen.

Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf, heißt es im jüngsten „State of Software Security Report“. Selbst drei Monate nach dem Identifizieren einer Anfälligkeit schaffe es nicht einmal die Hälfte der Unternehmen, diese zu beheben. Dabei handele es sich laut Veracode sogar Jahr für Jahr oft um die gleichen Schwachstellen.

Um die Anwendungssicherheit zu optimieren, bedürfe es allerdings entsprechender finanzieller Investitionen. Allerdings müssen sich Sicherheitsteams einiger – durchaus legitimer – Tricks bedienen, um einen größeren Teil des Budgets abzugreifen. Hierfür müssten sie wissen, wie ihr Application-Security-Programm aussehen soll, was genau sie benötigen und wie die Security-Strategie zum Unternehmenserfolg beitragen könne.

Spezifischer geht Veracode auf diese Herausforderungen in den folgen fünf Tipps ein:

1. Einen konkreten Anlass aufzeigen

Der nächstliegende Anlass mehr Budget für Anwendungssicherheit einzufordern, ist natürlich eine Sicherheitslücke selbst – entweder im eigenen Unternehmen oder ein anderer öffentlicher Fall. Konkrete Anlässe lassen sich allerdings auch in anderen Kontexten finden, wie zum Beispiel der Europäischen Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Die DSGVO stellt neue Sicherheitsansprüche an Unternehmen und eine potenzielle Nichteinhaltung kann zu hohen Strafen führen.

Ein weiterer Anlass wäre schlichtweg ein Kunde, der sich gezielt nach der Sicherheit der Software erkundigt. Software-Einkäufer sind sich zunehmend über die vielen Sicherheitsrisiken bewusst und achten umso genauer auf hohe Sicherheitsniveaus der angebotenen Software. In einer gemeinsamen Studie haben IDG und Veracode herausgefunden, dass 96 Prozent aller Software- und IT-Einkäufer sich im Zweifel immer für den Anbieter entscheiden, der in unabhängigen Tests als „sicher“ eingestuft wurde. Ein geplatztes Geschäft aufgrund mangelnder Sicherheitszertifizierung wäre also durchaus ein konkreter Anlass für die Aufstockung des AppSec-Budgets.

2. Ausblick in die Zukunft geben

Eine klare, zukunftsorientierte Roadmap für das eigene AppSec-Programm zu entwickeln ist nicht nur ausschlaggebend für den Erfolg des Programms, sondern auch für Budget-Entscheidungen. Neben Glaubwürdigkeit verleiht eine durchdachte Roadmap Außenstehenden auch einen Einblick in die tatsächlichen Auswirkungen, die ein AppSec-Programm mit sich bringt – Risikominimierung und schnelle Fehlerbehebung. Eine Investition in Sicherheits-Schulungen für Entwickler erhöht beispielsweise die Eigenverantwortung und verringert langfristig die Belastung der Sicherheitsteams.

3. Benchmarks aufzeigen

Überzeugungsarbeit kann außerdem durch das Aufzeigen von Benchmarks geleistet werden. Das eigene Sicherheitsniveau direkt mit dem anderer Unternehmen zu vergleichen, hilft, ein generelles Verständnis für die Effektivität des eigenen Sicherheitsprogramms zu vermitteln. Ein schlechteres Abschneiden ist ein relativ selbsterklärendes Argument für mehr AppSec-Budget. Sollte das eigene Sicherheitsprogramm im Vergleich besser abschneiden, ist das ein guter Ausgangspunkt um noch ambitioniertere Projekte einzuleiten und die anführende Position damit beizubehalten. Als Benchmark-Richtlinie eignen sich beispielsweise der eingangs erwähnte SOSS-Report oder das OpenSAMM Framework.

4. Das Publikum kennen

Eine der häufigsten Ursachen für das Scheitern von Unternehmens-Initiativen ist, dass die Initiatoren mit den falschen Informationen an die Entscheidungsträger herantreten. Ein CFO wird nicht viel mit der Information „Wir haben die Anzahl unserer SQL-Injections um 30 Prozent erniedrigt“ anfangen können. Für den CFO müssen diese Werte in Umsatzzahlen, oder zumindest Risikoeinschätzungen, übersetzt werden. Hilfreich wären also Formulierungen wie „Das AppSec-Programm wird die Anzahl von Datenlecks um X Prozent reduzieren“ oder „Durch das AppSec-Programm sparen wir uns X Prozent der Kosten, die durch das Beheben von Schwachstellen anfallen“.

5. Prioritäten setzen

Ein ganzheitliches AppSec-Programm ist umfangreich und beinhaltet viele unterschiedliche Komponenten, in die investiert werden muss. Sicherheitsabteilungen müssen sich im Klaren sein, wo ihre „Must‘s“, „Should‘s“ und „Could‘s“ liegen und Stakeholdern dann entsprechende Optionen aufzeigen. Welche Aspekte des Programms sind unentbehrlich? An welchen Stellen ist Raum für Verhandlung? Und welche Aspekte könnte man nach einigen Monaten des ersten Aufrollens des Programms nochmals neu evaluieren? Oberste Priorität sollten in jedem Falle Compliance-Regulationen sein. Ein typisches „Should“ wären Investitionen in neue Testing- bzw. Scanning-Techniken und ein „Could“ wären weiterführende Trainings für Sicherheitsteams.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46120106 / Application Security)