:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Application Security Management Risiken in Anwendungssoftware vermeiden
Sicherheit kommt in der Anwendungsentwicklung meist zu kurz, dabei sind Software-Fehler oft der Ausgangspunkt für Cyber-Attacken. Für Geschäftsapplikationen ist es daher unerlässlich, einen abteilungsübergreifenden Ansatz für das Management von Risiken und Schwachstellen zu etablieren.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
In der Software-Entwicklung ist der Projektplan in der Regel gut durchdacht und terminiert, die einzige Ausnahme bilden oft die Sicherheitstests. Deren Umfang wird allzu gerne nach dem Prinzip festgelegt: Tage bis Datum Go-Live minus benötigte Zeit für Prio-1-Tasks. Wir haben in der Software-Entwicklung also zwei grundlegende Probleme:
- 1. Schnelligkeit/Pünktlichkeit geht vor Sicherheit.
- 2. Die Anwendungssicherheit kommt zum Schluss (wenn noch Zeit bleibt).
Das ist bemerkenswert, wenn man bedenkt, dass die meisten Cyber-Angriffe nach wie vor über das Ausnutzen von Schwachstellen auf Anwendungsebene eingeleitet werden. Und davon gibt es genug.
Größere Unternehmen nutzen über 10.000 verschiedene Anwendungen, wovon die größeren nicht selten über 10 Millionen Zeilen Code zählen. Und glaubt man den Experten von der Firma Aspect Security, enthält schon jede "normale" Web-Anwendung durchschnittlich 22,4 schwerwiegende Sicherheitsschwachstellen.
Bei eigens erstellter Software sieht es nicht viel besser aus: Kundeneigene Entwicklungen in SAP-Anwendungen betragen im Schnitt über zwei Millionen Zeilen Code pro SAP-System. Das ermittelt der ABAP Code Benchmark, den die Sicherheitsexperten von Virtual Forge bei der Untersuchung von rund 200 Kundensystemen durchgeführt haben. Das Verhältnis lautet hier 1 zu 1.000: Eine kritische Sicherheitsschwachstelle pro 1.000 Zeilen Code. Bedeutet im Durchschnitt über 2.000 kritische Schwachstellen allein in den SAP-Anwendungen.
Highspeed-Entwicklung
Doch woher kommt diese verhältnismäßig hohe Anzahl an kritischen Schwachstellen in Software? Das ist zum einen auf neue Methodologien wie die agile Software-Entwicklung zurückzuführen. Sie wurde umgesetzt, um kurzfristige Anforderungen oder Änderungen in kürzester Zeit zu implementieren. Agile Software Development führt in aller Regel aber auch dazu, dass manuelle Verfahren zur Prüfung der Anwendungssicherheit kaum nachkommen.
Durch die vermehrte Nutzung von vorgefertigten Software-Komponenten wie Open Source-Bibliotheken kommen neue, unscheinbare Gefahren-Quellen hinzu. Das Beispiel Heartbleed hat nur allzu deutlich gezeigt, dass auch mehrere Augen nicht unbedingt jeden schwerwiegenden Fehler bei öffentlich einsehbarem Quellcode sofort entdecken.
Mit anderen Worten: Wir entwickeln heute schneller als wir in der Lage sind, die Entwicklungen auf Sicherheits- und Qualitätsmerkmale hin zu überprüfen. Eine Automatisierung der Sicherheitsprüfung in Software-Anwendungen ist daher unumgänglich.
Das Problem wird dadurch verschärft, dass Unternehmensanwendungen in verschiedenen Umgebungen und Sprachen entwickelt werden. Das heißt, dass auch unterschiedliche Tools für das Application Testing und Code Scanning sowie für das Defect Tracking genutzt werden, wenn jegliche Software-Entwicklung automatisiert auf Sicherheit und Qualität hin überprüft werden soll.
Den Überblick behalten
Ein übergreifendes Application Security Management ist zwingend erforderlich, um alle Aktivitäten zur Gewährleistung der Sicherheit aller im Unternehmen genutzten Anwendungen zu orchestrieren. Damit wäre der Go-Live-Termin nicht mehr der Maßstab aller Dinge, sondern die Gewährleistung, dass die Anwendung frei von sicherheitskritischen Schwachstellen ist.
Dabei ist es unerheblich, ob eine Kampagnen-Webseite für ein neues Produkt oder ein Workflow in SAP entwickelt wird, durch den die Freigabe von Bestellungen über einen Wert von 100.000 Euro autorisiert wird. Es zählt nicht unbedingt die Kritikalität der Anwendung selbst, sondern die Bewertung von kritischen Schwachstellen im Anwendungskontext.
Ein Beispiel: Eine Sicherheitslücke in einem SAP-Workflow, der Bestellungen über relativ hohe Beträge koordiniert, mag nicht so kritisch sein, wie z. B. die in einer Funktion einer mobilen Anwendung, die für das Auslesen eines Produktkatalogs ein SAP-System anzapft.
Letztere könnte ein Hacker eventuell leicht ausnützen, um sich einen Zugang zur SAP-Infrastruktur des Unternehmens zu verschaffen. Die fehlende Berechtigungsüberprüfung im SAP-Bestellworkflow hingegen ließe sich nicht so einfach durch Außenstehenden ausnutzen, da internes Wissen und ein Zugang zur Anwendung benötigt wird.
Ein effektives Application Security Management muss daher genau dies bewerkstelligen: Unabhängig von der jeweiligen Anwendungsentwicklungsumgebung kritische Schwachstellen bewerten und im Überblick behalten.
Fokus auf die größten Risiken in Geschäftsanwendungen
Benötigt wird dazu ein Ansatz, der den vollen Umfang des Anwendungsportfolios im Unternehmen umfasst und der mit den modernen Methoden der Highspeed-Entwicklung mithalten kann. Das Wesentliche dabei ist, den Fokus auf die größten Risiken in den Geschäftsanwendungen zu richten. Keine Applikation darf live gehen, wenn sie noch schwerwiegende Sicherheitslücken aufweist.
Werden gravierende Schwachstellen in bestehenden produktiven Anwendungen identifiziert, muss das Application Security Team dafür Sorge tragen, dass die Schwachstellen priorisiert und "schnellstmöglich" von den jeweiligen Entwicklungsteams beseitigt werden. Für diesen Prozess sollten im Application Security Management-Programm einheitliche Regeln verankert sein, die für jedes Entwicklungsteam verbindlich sind und deren Einhaltung vom CISO überwacht wird.
Größte Risiken schnellstmöglich angehen
Die durchschnittliche Zeit, die benötigt wird, um identifizierte und priorisierte Software-Schwachstellen zu korrigieren, ist eine wichtige Metrik für ein effektives Application Security Management. Diese Metrik hilft zu verstehen, wie lang das Zeitfenster der Verwundbarkeit in produktiven Anwendungen ist, sagt John Dickson von der Denim Group.
Diese Metrik würde nur leider von vielen Unternehmen nicht übergreifend erhoben oder kommuniziert. Daher sei es schwierig, bei Anwendungs- und Sicherheitsverantwortlichen ein gemeinsames Risikoverständnis durchzusetzen. Die Folge: schwerwiegende Sicherheitslücken würden viel zu lange Zeit in produktiven Anwendungen klaffen, resümiert Dickson.
Dabei hat Dicksons Firma, Denim Group, die Sicherheitsaudits und Beratung für die sichere Anwendungsentwicklung anbietet, für das übergreifende Management von Risiken in Geschäftsanwendungen mit ThreadFix eine spezielle Software entwickelt. Weitere Details über das Security-Tool finden Interessierte im folgenden Kasten.
* Jannis Blume ist Content Marketing Manager bei Virtual Forge.
(ID:44391495)
:quality(80)/p7i.vogel.de/wcms/d9/fc/d9fc84e0b5d66ab77804cfcc5e6c72d2/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte möglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")