Interview mit Julian Totzek-Hallhuber von Veracode „Die unwichtigste Seite ist auch die, die am wenigsten geschützt ist.“

Das Gespräch führte Stephan Augsten |

Anbieter zum Thema

Neue Technologien und die Zunahme an Applikationen stellen die Anwendungssicherheit vor Herausforderungen. Julian Totzek-Hallhuber von Veracode stellt im Interview mit Dev-Insider Ansätze vor, um diesen zu begegnen, und äußert sich zur Zukunft von Veracode.

Julian Totzek-Hallhuber: „Security in einen bestehenden DevOps-Prozess zu integrieren, ist extrem schwierig.“
Julian Totzek-Hallhuber: „Security in einen bestehenden DevOps-Prozess zu integrieren, ist extrem schwierig.“
(Bild: Veracode)

Dev-Insider: Herr Totzek-Hallhuber, was sind Ihrer Meinung nach aktuell die drei größten Baustellen oder Herausforderungen für die Anwendungssicherheit?

Julian Totzek-Hallhuber: Zu den größten Herausforderungen gehört sicherlich, dass viele Security-Verantwortliche keinen vollständigen Überblick über ihre Applikationen mit allem, was dazu gehört, haben. Man nennt diese Ecken auch bezeichnend „Blind Spots“.

Welche Software läuft wo, wie arbeiten Systeme überhaupt zusammen und welche längst vergessenen Webseiten sind noch aktiv? Gerade Letzteres passiert öfter als man meinen sollte und ist für Angreifer geradezu eine Einladung, ins System einzudringen. Im Grunde braucht jede einzelne Applikation sowohl einen Onboarding- als auch einen Offboarding-Prozess. Das ist jedoch meist nicht der Fall.

Dann hat das Thema Geschwindigkeit in den letzten Jahren enorm an Bedeutung gewonnen. Applikationen werden immer schneller und schneller entwickelt, auf den Markt gebracht und an die Bedürfnisse der Nutzer angepasst. Dabei bleibt allerdings oft die Sicherheit auf der Strecke, denn sie kann nicht unbedingt mit dieser Geschwindigkeit mithalten.

Und zu guter Letzt würde ich die verwendeten Sprachen und Frameworks als große Herausforderung speziell für uns sehen, und zwar im Hinblick auf das mobile Umfeld. Wir kennen das alle: Sobald ein neues iOS- oder Android-Update veröffentlicht wird, steht für mobile Anwendungen ebenfalls sofort ein Update bereit.

Für Anbieter kann es manchmal herausfordernd sein, diese neuen Versionen sofort zu unterstützen, da beispielsweise gerade Apple die Spezifikationen des neuen Betriebssystems und der Programmierung nicht direkt veröffentlicht. Die Entwicklerinnen und Entwickler erhalten diese Informationen zwar, wir aber nicht.

Dev-Insider: Je größer das Unternehmen, desto mehr dieser blinden Flecken gibt es bei den diversen Anwendungen. Wie lassen sich diese „toten Winkel“ in der Anwendungssicherheit identifizieren und beheben?

Julian Totzek-Hallhuber: Die unwichtigste Seite für ein Unternehmen ist auch die, die am wenigsten geschützt ist – Angreifer wissen das. Blind Spots sind zweifelsohne eine sehr große Herausforderung, doch es gibt Lösungen, mit denen sie sich aufdecken lassen. Veracode Discovery beispielsweise sucht in den Systemen nach live laufenden Webapplikationen und APIs und führt alle Ergebnisse in einer langen Liste auf.

Dazu gehören natürlich die Standardwebseiten eines Unternehmens, aber auch die Admin-Interfaces, die dort nicht publiziert sein sollten, oder Marketing- und Eventpages, die man längst hätte abschalten sollen. Anhand solcher Reports können Operation-Teams punktgenau reagieren. Dies verringert die Angriffsflächen und auch die Kosten. Gleichzeitig erfahren Unternehmen über diese Liste, welche Applikationen sie regelmäßig auf Schwachstellen überprüfen sollten.

Dev-Insider: Zeit ist ein kritischer Faktor für Anwendungen und die Teams dahinter. Wie lässt sich also die Geschwindigkeit erhöhen, ohne dass die Sicherheit darunter leidet?

Julian Totzek-Hallhuber: Security in einen bestehenden DevOps-Prozess zu integrieren, ist extrem schwierig. DevOps ist ganz auf Geschwindigkeit ausgerichtet, alles wird automatisiert und soll so schnell wie möglich ablaufen. Wenn nicht von Anfang an Security in diesen Prozess integriert ist, werden Sicherheitsmaßnahmen den Prozess verlangsamen bzw. von den Entwicklern abgelehnt werden, weil sie diese Zeit nicht mehr haben. Schnelligkeit und Sicherheit stehen sich hier diametral gegenüber.

Verschieden Scan-Typen der Statischen Code-Analyse können daher in verschiedenen Phasen des Codes und der Pipeline-Automatisierung eingesetzt werden um einen Security Scan so nahtlos wie möglich, mit dem geringsten Zeitverlust zu integrieren.

Zusätzlich müssen Entwickler die Ergebnisse der Scans so früh wie möglich bekommen, damit sie Schwachstellen so früh wie möglich beheben können und der Prozess der Pipeline hinterher nicht mehr gestört wird. Es gibt dafür inzwischen sehr viele Technologien, die sehr früh ansetzen – etwa bei einzelnen Dateien oder auch Teilapplikationen. Unternehmen müssen sich solche flexiblen Lösungen zunutze machen, um möglichst akkurate Ergebnisse möglichst früh den Entwicklern zur Verfügung zu stellen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Dev-Insider: Durch die digitale Entwicklung und das Aufkommen diverser Dienste und Services werden herkömmliche Security-Ansätze vor große Herausforderungen gestellt. Diese hohe Dynamik erschwert den IT-Teams das Entdecken und Beheben von Sicherheitslücken. Wie sieht vor diesem Hintergrund die langfristige strategische Ausrichtung von Veracode aus?

Julian Totzek-Hallhuber: Wir sehen gerade im Enterprise-Bereich, dass Unternehmen, die Hunderte oder gar Tausende von Web-Applikationen haben, überhaupt nicht wissen, was in ihren Systemen passiert, welche Applikationen sie überhaupt haben und wie und in welchen Abstufungen ihre Systeme zusammenarbeiten. Sie haben kein entsprechendes Repository und damit auch keine Übersicht, welche Schwachstellen in ihren Systemen vorhanden sind. An dieser Stelle werden wir künftig noch stärker ansetzen und Produkte auf den Markt bringen, die diese Herausforderung für Unternehmen lösen sollen.

Dev-Insider: Und welche Ziele hat sich Veracode für 2023 gesetzt?

Julian Totzek-Hallhuber: Wir werden uns auf neuen Technologien konzentrieren, wie Container-Scanning, Infrastructure-as-Code und Updates zur Software Composition Analysis. Wir haben damit bereits angefangen, wollen diese Bereiche im kommenden Jahr aber deutlich ausbauen, denn sie werden von Entwicklern und Unternehmen stark nachgefragt. Alles wird zunehmend automatisiert, aber auch ein Automatisierungscode kann, natürlich, Schwachstellen aufweisen. Hier sehen wir großes Potenzial, wie wir Unternehmen und Entwickler in Zukunft unterstützen zu können.

* Julian Totzek-Hallhuber ist Manager Solution Architects bei Veracode.

(ID:48584065)