{"id":15334,"date":"2019-11-23T11:04:00","date_gmt":"2019-11-23T10:04:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15334"},"modified":"2019-11-21T11:07:46","modified_gmt":"2019-11-21T10:07:46","slug":"schwachstellen-kennen-ist-nur-die-halbe-miete","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15334","title":{"rendered":"Schwachstellen kennen ist nur die halbe Miete"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Autoren\/Redakteur: <a href=\"https:\/\/f5.com\/de\">Lori MacVittie, Principal Technical Evangelist, und Ralf Sydekum, Technical Manager DACH bei F5 Networks<\/a>\/gg<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zumindest nach au\u00dfen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer Software-Entwicklung und -Bereitstellung auf dem Thema Sicherheit liegt. Und das sollte auch so sein. Denn t\u00e4glich werden neue Schwachstellen entdeckt und die Patch-L\u00fccke scheint nicht kleiner zu werden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/F5.png\" alt=\"\" class=\"wp-image-15335\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/F5.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/F5-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\">Eine der h\u00e4ufig vorgeschlagenen L\u00f6sungen f\u00fcr mehr Sicherheit ist das Scannen von Quellcode. Statische und dynamische Sicherheitsscans sind zu einem wichtigen Bestandteil kontinuierlicher IT-Bereitstellungsprozesse geworden. So l\u00e4sst sich jederzeit mit einem Blick auf ein Dashboard ermitteln, was diese Scans finden.\u00a0<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Sicherheitsl\u00fccken werden h\u00e4ufig ignoriert<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aber zu wissen, dass es im Quellcode Schwachstellen gibt, ist nur die halbe Miete. Die andere H\u00e4lfte besteht darin, etwas gegen diese Sicherheitsl\u00fccken zu unternehmen. Leider wird dies in der Realit\u00e4t nicht immer umgesetzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">So geben\nin einer Umfrage von Tripwire (<a href=\"https:\/\/3b6xlt3iddqmuq5vy2w0s5d3-wpengine.netdna-ssl.com\/state-of-security\/wp-content\/uploads\/sites\/3\/Tripwire-Dimensional-Research-State-of-Container-Security-Report.pdf\">2019\nState of Container Security<\/a>) 17 Prozent der Teilnehmer zu, gef\u00e4hrdete\nContainer einzusetzen, obwohl sie dies wissen. Laut einer <a href=\"https:\/\/www.arxan.com\/press-releases\/2017-ponemon-mobile-iot-study\">Studie\nvon Arxan\/IBM<\/a> aus dem Jahr 2017 verwenden zwar 53 Prozent der Befragten\nstatische Sicherheitstests und 51 Prozent dynamische Sicherheitstests f\u00fcr\nmobile Anwendungen. Doch trotz erheblicher Bedenken in Bezug auf\nSecurity-Vorf\u00e4lle unternimmt fast die H\u00e4lfte (44 Prozent) keine Schritte, um\ndiese zu verhindern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Zeitdruck wichtiger als Security<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dass bekannte Schwachstellen nicht behoben oder einfach ignoriert werden, liegt fast immer am Zeitdruck. Fast die H\u00e4lfte (48 Prozent) der Entwickler haben nicht gen\u00fcgend Zeit f\u00fcr Sicherheitsaufgaben, so die <a href=\"https:\/\/info.signalsciences.com\/devsecops-community-survey-2018\">2018 DevSecOps Community Survey<\/a>. Andere Umfragen best\u00e4tigen das: Entwickler stehen unter enormem Druck, Code schneller und h\u00e4ufiger zu erstellen. Dies geht h\u00e4ufig zulasten der Sicherheit, die nach wie vor vernachl\u00e4ssigt wird, wenn die Geschwindigkeit im Vordergrund steht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das\nist auch kein Wunder: Schlie\u00dflich werden Entwickler in der Regel an einer\nschnellen Markteinf\u00fchrung gemessen. Entsprechend arbeiten sie auch darauf hin \u2013\nselbst wenn es bedeutet, Prozesse zu \u00fcberspringen und damit die Sicherheit zu\nbeeintr\u00e4chtigen. Wenn Unternehmen also sichere Anwendungen f\u00fcr den Markt\nbereitstellen wollen, m\u00fcssen sie sich einem kulturellen Wandel unterziehen. Sie\nd\u00fcrfen nicht nur messen, wie schnell Produkte auf den Markt kommen, sondern\nm\u00fcssen auch bewerten, wie sicher sie sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Individuelle Ans\u00e4tze finden<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dazu gibt es jedoch keine Standardl\u00f6sung. Nat\u00fcrlich k\u00f6nnte man f\u00fcr jede Teilaufgabe ein Security-Konzept entwickeln, doch dies ist recht realit\u00e4tsfern. Zudem stehen nicht nur die Entwickler unter Druck, sondern auch die Fachabteilungen und somit das gesamte Unternehmen. Die entscheidende Frage lautet daher, mit wieviel Aufwand welches Security-Niveau erreicht werden soll. H\u00e4ufig steht der Aufwand nicht im Verh\u00e4ltnis zum Sicherheitsgewinn, so dass ein genau kalkuliertes Restrisiko im Einzelfall sinnvoll sein kann.\u00a0<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein\nhoher Grundschutz l\u00e4sst sich aber schon mit bew\u00e4hrten Praktiken und\nSicherheitsma\u00dfnahmen erreichen. So l\u00f6st sich der scheinbare Widerspruch\nzwischen Agilit\u00e4t und Sicherheit auf, wenn sowohl die Prinzipien des Secure\nCoding eingehalten als auch im gesamten CI\/CD-Prozess der\nApplikationsentwicklung und -bereitstellung Security-Richtlinien in die\nAutomatisierungsprozesse integriert werden. Damit l\u00e4sst sich mit\nvergleichsweise wenig Aufwand ein ausreichendes Sicherheitsniveau\ngew\u00e4hrleisten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zumindest nach au\u00dfen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer Software-Entwicklung und -Bereitstellung auf dem Thema Sicherheit liegt. Und das sollte auch so sein. Denn t\u00e4glich werden neue Schwachstellen entdeckt und die Patch-L\u00fccke scheint nicht kleiner zu werden.<\/p>\n","protected":false},"author":1,"featured_media":15335,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,37],"tags":[8894,3449,9994,6264,1038,1082,1862,1860,36,1755],"class_list":["post-15334","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-security","tag-bereitstellung","tag-dashboard","tag-devsecops","tag-entwicklung","tag-f5","tag-networks","tag-patch","tag-schwachstelle","tag-sicherheit","tag-tripwire"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15334"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15334\/revisions"}],"predecessor-version":[{"id":15336,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15334\/revisions\/15336"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15335"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}