Suchen

Sicherheit durch verschiedene Stellschrauben erhöhen Application Security optimieren und die Krise meistern

| Autor / Redakteur: Florian Thurmann * / Stephan Augsten

Anwendungssicherheit ist in einer Zeit, in der die Menschen vermehrt im Homeoffice arbeiten, noch dringlicher geworden. Und natürlich versuchen auch Cyber-Kriminelle, aus der aktuellen Situation Kapital zu schlagen. Was müssen Application Security Teams alles beachten?

Firmen zum Thema

Schulungen, bessere Kommunikation, Technik: Anwendungssicherheit lässt sich auf mehreren Wegen erhöhen, die Strategie zählt.
Schulungen, bessere Kommunikation, Technik: Anwendungssicherheit lässt sich auf mehreren Wegen erhöhen, die Strategie zählt.
(Bild: mohamed_hasan / Pixabay )

Unternehmen stehen vor anhaltenden Herausforderungen. Sei es, weil sie Hände ringend nach geeignetem Personal suchen, oder sei es, weil sie in Zeiten der Krise Wege finden müssen, trotz der wirtschaftlichen Auswirkungen produktiv zu bleiben. Zusätzlich sehen wir in Zeiten der Pandemie einen überproportionalen Anstieg von Cyber-Angriffen durch opportunistische Hacker und Cyber-Kriminelle.

Teams, die für die Anwendungssicherheit verantwortlich sind, geraten dadurch weiter unter Zugzwang und stehen vor der schwierigen Aufgabe, die von ihnen entwickelte und betriebene Software vor dieser neuerlichen Flut von Angriffen zu schützen. Der Aufwand dafür wird vom Management meistens unterschätzt. Entsprechend knapp verteilt sind die Ressourcen.

Es existieren aber einige taugliche Strategien, die aus dem Dilemma herausführen. Als erstes gilt es, den Kapazitätsengpass für Sicherheitstests anzugehen, die Fähigkeiten der Mitarbeiter auszubauen und den Software-Entwicklungsprozess auf den neuesten Stand zu bringen, um Risiken zu senken. Diese Ansätze helfen Application-Security-, kurz AppSec-Teams dabei, besser mit dem Ressourcenmangel umzugehen und entsprechende Programme effizienter zu gestalten. Ohne eine passende Strategie ist es unmöglich, unter erschwerten Bedingungen die gesetzten Ziele zu erreichen.

Personalmangel trifft auch Security-Abteilungen

Ein Weg besteht darin, bestehende Security-Teams durch On-Demand-Ressourcen zu unterstützen. Qualifizierte Fachkräfte im Bereich AppSec sind selbst in den besten Zeiten Mangelware. Krisenbezogen wurden Firmen zeitweise geschlossen oder die Produktion heruntergefahren, große Teile der Belegschaft arbeiten noch immer von zu Hause und Reisebeschränkungen gelten weiter.

Dadurch ist es schwieriger geworden, Projekte zeitgerecht umzusetzen, Stellen mit geeigneten Mitarbeitern und Mitarbeiterinnen zu besetzen und den Geschäftsbetrieb aufrechtzuerhalten. In einigen Branchen und Unternehmen hat sich die Situation teilweise drastisch verschärft. Oft waren bestehende Teams schon vor der Krise unterbesetzt. Mit zusätzlichen Sicherheitsaufgaben sind sie jetzt komplett überfordert.

Sicherheitsteams sind also gezwungen, ihre Projekte stärker als bisher zu priorisieren, wenn sie mit einer dünnen Personaldecke Projekte weiterhin fristgerecht umsetzen wollen. Managed Solutions unterstützen Firmen beim Testen der Anwendungssicherheit durch Remote-Teams. Die setzen sich aus Experten für das Thema Anwendungssicherheit und flexibel abrufbaren Kapazitäten zusammen.

Das zusätzliche Fachwissen und die Dienstleistungen nimmt man nur genau dann in Anspruch, wenn man sie tatsächlich braucht. Ausgelagerte Sicherheitstests erlauben es, flexibel und agil zu wirtschaften. Sie passen sich dadurch den aktuellen Bedürfnissen bei AppSec-Tests an und holen gleichzeitig das Maximum aus den vorhandenen Kapazitäten heraus. Bei der Auswahl der richtigen Toolsets sollten Firmen sich von ihren spezifischen Zielvorgaben und Anforderungen leiten lassen.

Security-Know-how aufstocken und aufleveln

Es liegt nahe, vorhandenes Personal aufzustocken, genauso wie es sinnvoll ist in Fachkräfte, insbesondere Entwickler, zu investieren. Entwicklungsteams bilden quasi die erste Verteidigungslinie gegen Cyber-Angriffe auf die eigene Software. Es ist zwar nötig, aber leichter gesagt als getan, den nennen wir es „Sicherheits-IQ“ nach oben zu schrauben.

Die meisten Entwickler haben kaum eine oder keine formale Ausbildung hinsichtlich sicherer Software-Entwicklung. Vielerorts stecken solche Studien- oder Ausbildungsgänge noch in den Kinderschuhen. Laut einer von Forrester durchgeführten Studie gilt das selbst für die USA. Keines der Top 40 College-Informatikprogramme enthält auch nur ein einziges Kursangebot zum Thema sichere Kodierung oder sicheres Anwendungsdesign.

Nicht unbedingt einleuchtend, wenn man bedenkt, dass die Last von Sicherheitsschulungen weitgehend auf den Schultern von Sicherheits- und Entwicklungsteams ruht. Schulungen abzuhalten ist unter Covid-19-Bedingungen allerdings nicht einfacher geworden. Wie soll man Mitarbeiter ausbilden, wenn man sie nicht oder nur unter einer Vielzahl von Auflagen zusammenbringen kann?

Herkömmliche Schulungen vor Ort führen Ausbilder (ILT, Instructor-led Training) meist im Auftrag der Firmen durch. Man sollte allerdings eigene virtuelle Schulungen und Trainings in Betracht ziehen. Der Markt hält eLearning-Lösungen bereit, zu denen auch interaktive Online-Sicherheitsschulungen gehören.

Hier haben Teilnehmer die Möglichkeit, nach Bedarf und in ihrem eigenen Tempo unter einer breiten Palette von Kursen zum Thema Anwendungssicherheit auszuwählen. Virtuelles ILT vermittelt trotzdem ein gemeinschaftliches Lernen in der Gruppe, bringt Mitarbeiter für Spezialschulungen zusammen, und die Online-Kurse werden von zertifizierten Fachleuten mit praktischer Erfahrung entwickelt und unterrichtet.

Ein anderer Ausbildungsansatz nutzt das Konzept des kontinuierlichen inkrementellen Lernens, das auf Entwickler-Tools und Workflows abgestimmt ist. Solche Lösungen enthalten zusätzlich Mikro-Kurse, die dann zustande kommen, wenn innerhalb der IDE-Umgebung ein Fehler auftritt. Diese Kurse statten Entwickler mit einem breiten Sicherheitswissen und der notwendigen Expertise aus. Sie bekommen Hilfestellung dazu, wie sie Mängel am besten beheben können und wie sie verhindern, dass Fehler sich in Zukunft wiederholen.

Es gibt Lösungen, die bereits Beispiele für spezifischen Code in einer bestimmten Programmiersprache enthalten, die Entwickler in einem kurzen Zeitraum von nur einer bis fünf Minuten lesen und anwenden können. Dazu müssen die Mitarbeiter keine Sicherheitsexperten sein. Dank dieser schnellen „Lern-/Anwendungsschleife“ halten sich die Unterbrechungen zeitlich in Grenzen, und Teams haben die Möglichkeit, sich kontinuierlich zu verbessern.

Die Werkzeuge unterstützen den Entwickler direkt bei seiner Implementierungsarbeit und in dem Kontext, in dem er üblicherweise arbeitet. Das stärkt zusätzlich die Bindung an das Unternehmen und erhöht im besten Falle auch den Spaßfaktor bei der Arbeit.

Technische Hürden ebenfalls erhöhen

Testkapazitäten auszuweiten und die Kompetenzen eines Teams zu erhöhen, hilft Personalprobleme zu bewältigen. Aber wie steht es um die Anfälligkeit der Anwendungen selbst? Was kann man tun, um sich auf einen möglichen Cyber-Angriff vorzubereiten? Abwehrmechanismen am Perimeter (z.B. WAFs) sind nach wie vor Teil der Lösung. Für viele Unternehmen, die Online-Dienste bereitstellen, ist jedoch das Web selbst und sind die von diesen Firmen entwickelten mobilen Anwendungen der Perimeter.

Interessanterweise basieren die meisten Anwendungen auf Open Source-Komponenten. Die über 1.250 der im jüngsten 2020 Open Source Security & Risk Analysis (OSSRA) Bericht analysierten Code-Bases enthalten zu annähernd 100 Prozent Open Source-Komponenten. Im Durchschnitt sind sieben Zehntel des verwendeten Codes Open Source.

Diese Zahl hat sich gegenüber den Zahlen des ersten OSSRA-Berichts, als der Anteil noch bei 36 Prozent lag, nahezu verdoppelt. Ein weiteres Indiz für den dramatischen Anstieg bei der Verwendung Open Source: Der aktuelle OSSRA-Bericht verzeichnet durchschnittlich 445 Open Source-Komponenten pro Codebasis, verglichen mit lediglich 298 noch im Jahr zuvor.

Wenn Sie allerdings nicht wissen, welche Open Source-Komponenten Ihr Code enthält, ist es kaum möglich sensible Daten und Systeme zu schützen. Die sorgfältigste Methode, um diese Lücke zu schließen ist, die Softwarekomponenten kontinuierlich zu analysieren. Dazu dient ein integriertes und automatisiertes Open Source-Risikomanagement über den gesamten Lebenszyklus der Softwareentwicklung (SDLC) hinweg.

Über das neue „Normal“ nach der Rückkehr in Firmen und Büros können wir im Moment nur spekulieren. Wir alle sind mindestens mit dem Unsicherheits-Virus infiziert. Aber die Situation birgt auch Chancen. AppSec-Teams lernen aus der aktuellen Arbeitssituation, konzentrieren ihre Anstrengungen und halten die Anwendungssicherheit unter den derzeitigen, nicht gerade idealen Bedingungen, aufrecht. Damit verbessert sich mit Blick auf die Zukunft fast zwangsläufig die Fähigkeit, sichere, qualitativ hochwertige Software zu erstellen.

* Florian Thurmann ist Technical Director Customer Service & Solution, EMEA, bei der Synopsys Software Integrity Group.

(ID:46698874)