Gegen die wachsende Bedrohung: Acht Tipps für die Anwendungssicherheit
Autorin/Redakteur: Eva Pleger, Regional Director DACH bei Immersive Labs/gg
Den Ergebnissen der Studie „Imperfect People, Vulnerable Applications“ von Immersive Labs in Zusammenarbeit mit Osterman Research zufolge sind viele Entwickler der Meinung, das Thema Anwendungssicherheit falle nicht in ihren Aufgabenbereich. Wie also lässt sich das ändern?
Angesichts zunehmend kurzer Markteinführungszeiten stehen Entwickler unter enormem Druck, Anwendungen immer schneller bereitzustellen – Sicherheitsaspekte rücken da häufig in den Hintergrund. Mittels technischer Raffinessen allein lässt sich die Veröffentlichung von anfälligem Code allerdings kaum verhindern. Vielmehr braucht es ein Umdenken auf Seiten der Unternehmen: weg von einem rein technologiebasierten Cyber-Security-Ansatz, hin zu einem mitarbeiterzentrierten und einer Kultur der Cyber-Resilienz, in der sich jeder Mitarbeiter – Entwickler eingeschlossen – potenzieller Sicherheitsrisiken bewusst ist und über die nötigen Cyber-Fähigkeiten verfügt, um mit Bedrohungen flexibel umgehen zu können. Der Aufbau dieser Fähigkeiten ist ein kontinuierlicher Prozess. Anstatt nach dem Gießkannenprinzip vorzugehen, werden Unternehmen in Zukunft gefordert sein, ihren Mitarbeitern regelmäßig und zielgerichtet genau die für ihr Tätigkeitsfeld relevanten Fähigkeiten zu vermitteln, etwa in Form praxisbezogener Simulationen. Es liegt also noch viel Arbeit vor den Unternehmen – hier sind einige Stellschrauben, die sie in puncto Anwendungssicherheit justieren können:
1. Keep it simple
Je schlanker die Codebasis, desto geringer die Fehlerquote und desto kleiner die Angriffsfläche. Gleichzeitig verbessert sich die Wartbarkeit und die Codeüberprüfung geht einfacher vonstatten. Darüber hinaus kann die Minimierung der Anzahl verwendeter Bibliotheken von Drittanbietern die Anfälligkeit für Supply-Chain-Angriffe verringern.
2. Shift-Left
Die Kosten einer Datenpanne sind ganz erheblich, sowohl in finanzieller Hinsicht als auch im Hinblick auf die Reputation. Je früher im SDLC eine Schwachstelle entdeckt wird, desto weniger Zeit, Geld und Mühe kostet deren Behebung. Durch die Integration von Sicherheitsaspekten in den Entwicklungsprozess kann sichergestellt werden, dass Schwachstellen schon früh erkannt und behoben werden.
3. Auf dem Laufenden bleiben
Angreifer entwickeln ihre Fähigkeiten ständig weiter. Um als potenzielles Opfer nicht hinterherzuhinken, sollten sowohl Security- als auch Development-Teams über die aktuellen Angriffstechniken und Schwachstellen auf dem Laufenden bleiben. Hierzu gehören auch Weiterbildungen im Hinblick auf die Best Practices im Bereich Security und Coding sowie das Testen neuer Tools.
4. Effektiv kommunizieren
Eine transparente und offene Kommunikation ist für ein gesundes Team und das gesamte Unternehmen unerlässlich – und sie ist aus mehreren Gründen ebenso wichtig für die Sicherheit. Wer die Basis dafür schafft, dass alle Beteiligten über den gleichen Wissensstand verfügen, kann Missverständnisse oder Fehlentscheidungen vermeiden und gleichzeitig dazu beitragen, potenzielle Sicherheitsrisiken frühzeitig zu erkennen, bevor ernsthafter Schaden entsteht. Die Förderung einer offenen Kommunikationskultur trägt außerdem dazu bei, das Vertrauen zwischen den Mitgliedern des Security-Teams und anderen Beteiligten zu stärken. Wenn alle das Gefühl haben, offen über Sicherheitsfragen sprechen zu dürfen, ist es einfacher, potenzielle Probleme zu erkennen und zu lösen, bevor es zu spät ist. In jedem Fall sollte Mitarbeitern ein Ansprechpartner zur Verfügung stehen, an den sie Sicherheitsprobleme herantragen können. Eine Möglichkeit ist die Erstellung einer security.txt-Datei. Alternativ schafft ein Bug-Bounty-Programm Anreize für Security-Experten, Schwachstellen zu finden und andere darüber in Kenntnis zu setzen.
