{"id":22762,"date":"2023-02-08T11:12:36","date_gmt":"2023-02-08T10:12:36","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22762"},"modified":"2023-01-30T11:22:50","modified_gmt":"2023-01-30T10:22:50","slug":"gegen-die-wachsende-bedrohung-acht-tipps-fuer-die-anwendungssicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22762","title":{"rendered":"Gegen die wachsende Bedrohung: Acht Tipps f\u00fcr die Anwendungssicherheit"},"content":{"rendered":"\n

Autorin\/Redakteur: Eva Pleger, Regional Director DACH bei Immersive Labs<\/a>\/gg<\/p>\n\n\n\n

Den Ergebnissen der Studie \u201eImperfect People, Vulnerable Applications<\/a>\u201c von Immersive Labs in Zusammenarbeit mit Osterman Research zufolge sind viele Entwickler der Meinung, das Thema Anwendungssicherheit falle nicht in ihren Aufgabenbereich. Wie also l\u00e4sst sich das \u00e4ndern? <\/p>\n\n\n\n

\"\"<\/a>
Bild: Immersive Labs<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Angesichts zunehmend kurzer Markteinf\u00fchrungszeiten stehen Entwickler unter enormem Druck, Anwendungen immer schneller bereitzustellen \u2013 Sicherheitsaspekte r\u00fccken da h\u00e4ufig in den Hintergrund. Mittels technischer Raffinessen allein l\u00e4sst sich die Ver\u00f6ffentlichung von anf\u00e4lligem Code allerdings kaum verhindern. Vielmehr braucht es ein Umdenken auf Seiten der Unternehmen: weg von einem rein technologiebasierten Cyber-Security-Ansatz, hin zu einem mitarbeiterzentrierten und einer Kultur der Cyber-Resilienz, in der sich jeder Mitarbeiter \u2013 Entwickler eingeschlossen \u2013 potenzieller Sicherheitsrisiken bewusst ist und \u00fcber die n\u00f6tigen Cyber-F\u00e4higkeiten verf\u00fcgt, um mit Bedrohungen flexibel umgehen zu k\u00f6nnen. Der Aufbau dieser F\u00e4higkeiten ist ein kontinuierlicher Prozess. Anstatt nach dem Gie\u00dfkannenprinzip vorzugehen, werden Unternehmen in Zukunft gefordert sein, ihren Mitarbeitern regelm\u00e4\u00dfig und zielgerichtet genau die f\u00fcr ihr T\u00e4tigkeitsfeld relevanten F\u00e4higkeiten zu vermitteln, etwa in Form praxisbezogener Simulationen. Es liegt also noch viel Arbeit vor den Unternehmen \u2013 hier sind einige Stellschrauben, die sie in puncto Anwendungssicherheit justieren k\u00f6nnen:<\/p>\n\n\n\n

1. Keep it simple<\/strong><\/p>\n\n\n\n

Je schlanker die Codebasis, desto geringer die Fehlerquote und desto kleiner die Angriffsfl\u00e4che. Gleichzeitig verbessert sich die Wartbarkeit und die Code\u00fcberpr\u00fcfung geht einfacher vonstatten. Dar\u00fcber hinaus kann die Minimierung der Anzahl verwendeter Bibliotheken von Drittanbietern die Anf\u00e4lligkeit f\u00fcr Supply-Chain-Angriffe verringern.<\/p>\n\n\n\n

2. Shift-Left<\/strong><\/p>\n\n\n\n

Die Kosten einer Datenpanne sind ganz erheblich, sowohl in finanzieller Hinsicht als auch im Hinblick auf die Reputation. Je fr\u00fcher im SDLC eine Schwachstelle entdeckt wird, desto weniger Zeit, Geld und M\u00fche kostet deren Behebung. Durch die Integration von Sicherheitsaspekten in den Entwicklungsprozess kann sichergestellt werden, dass Schwachstellen schon fr\u00fch erkannt und behoben werden.<\/p>\n\n\n\n

3. Auf dem Laufenden bleiben<\/strong><\/p>\n\n\n\n

Angreifer entwickeln ihre F\u00e4higkeiten st\u00e4ndig weiter. Um als potenzielles Opfer nicht hinterherzuhinken, sollten sowohl Security- als auch Development-Teams \u00fcber die aktuellen Angriffstechniken und Schwachstellen auf dem Laufenden bleiben. Hierzu geh\u00f6ren auch Weiterbildungen im Hinblick auf die Best Practices im Bereich Security und Coding sowie das Testen neuer Tools.<\/p>\n\n\n\n

4. Effektiv kommunizieren<\/strong><\/p>\n\n\n\n

Eine transparente und offene Kommunikation ist f\u00fcr ein gesundes Team und das gesamte Unternehmen unerl\u00e4sslich \u2013 und sie ist aus mehreren Gr\u00fcnden ebenso wichtig f\u00fcr die Sicherheit. Wer die Basis daf\u00fcr schafft, dass alle Beteiligten \u00fcber den gleichen Wissensstand verf\u00fcgen, kann Missverst\u00e4ndnisse oder Fehlentscheidungen vermeiden und gleichzeitig dazu beitragen, potenzielle Sicherheitsrisiken fr\u00fchzeitig zu erkennen, bevor ernsthafter Schaden entsteht. Die F\u00f6rderung einer offenen Kommunikationskultur tr\u00e4gt au\u00dferdem dazu bei, das Vertrauen zwischen den Mitgliedern des Security-Teams und anderen Beteiligten zu st\u00e4rken. Wenn alle das Gef\u00fchl haben, offen \u00fcber Sicherheitsfragen sprechen zu d\u00fcrfen, ist es einfacher, potenzielle Probleme zu erkennen und zu l\u00f6sen, bevor es zu sp\u00e4t ist. In jedem Fall sollte Mitarbeitern ein Ansprechpartner zur Verf\u00fcgung stehen, an den sie Sicherheitsprobleme herantragen k\u00f6nnen. Eine M\u00f6glichkeit ist die Erstellung einer security.txt-Datei. Alternativ schafft ein Bug-Bounty-Programm Anreize f\u00fcr Security-Experten, Schwachstellen zu finden und andere dar\u00fcber in Kenntnis zu setzen.<\/p>\n\n\n\n\n\n\n\n

5. Ein Sicherheitsbewusstsein entwickeln<\/strong><\/p>\n\n\n\n

Ein einziger Schutzmechanismus wird nicht gen\u00fcgen, um gegen alle Cyber-Bedrohungen gewappnet zu sein. Der Faktor Mensch wird oftmals als Achillessehne der IT-Security betrachtet \u2013 er kann aber auch die erste Verteidigungslinie sein. Bedeutet: Wer denkt wie ein Hacker und unterschiedliche Bedrohungsszenarien visualisiert, erh\u00f6ht die Chance, angemessen reagieren zu k\u00f6nnen. Fehler in der Unternehmensstrategie beispielsweise kann selbst die beste Security-L\u00f6sung nicht aufsp\u00fcren. Kritische Code-Reviews gewinnen daher umso mehr an Bedeutung. Unternehmensverantwortliche sind gut beraten, auf einen Defense-in-Depth-Ansatz zur\u00fcckzugreifen, sodass ihre Systeme auch dann noch gesch\u00fctzt werden k\u00f6nnen, wenn ein Security-Layer durchbrochen wird.<\/p>\n\n\n\n

6. Jeder tr\u00e4gt Verantwortung<\/strong><\/p>\n\n\n\n

Es ist wichtig, dass sich jeder Mitarbeiter in einem Unternehmen bewusst ist, dass die Sicherstellung der Resilienz gegen\u00fcber Cyberangriffen zu seinen Aufgaben geh\u00f6rt. Die F\u00f6rderung sicherer Kodierungspraktiken innerhalb des Teams und des gesamten Unternehmens ist ein Langzeitprojekt und sollte daher schrittweise erfolgen.<\/p>\n\n\n\n

7. Auf Automatisierung setzen<\/strong><\/p>\n\n\n\n

In jedem Unternehmen fehlt die Zeit, in regelm\u00e4\u00dfigen Abst\u00e4nden und zuverl\u00e4ssig auf jede Schwachstelle zu testen. Wiederkehrende Aufgaben sollten daher, wenn m\u00f6glich, automatisiert werden. Die Investition in Continuous Integration, Continuous Deployment (CI\/CD) und automatisierte Tests sowie die Integration von SAST-, DAST- und SCA-Scannern lohnt sich daher. Diese Tools erh\u00f6hen die Effektivit\u00e4t und erm\u00f6glichen es, sich auf die \u201emenschlichen\u201c Faktoren der Anwendungssicherheit zu konzentrieren.<\/p>\n\n\n\n

8. Aus Fehlern lernen<\/strong><\/p>\n\n\n\n

Eine gute Fehlerkultur ist f\u00fcr die Resilienz gegen\u00fcber Cyberangriffen entscheidend. Dabei gilt: Fehler sind ebenso erlaubt wie Schwachstellen im Code \u2013 unter der Pr\u00e4misse, dass Entwickler aus ihren Fehlern und denen der anderen lernen. Denn leider lassen sich allzu oft bereits behobene Schwachstellen in anderen Variationen an mehreren Stellen im Unternehmen finden.<\/p>\n\n\n\n

\"\"<\/a>
535124956\/Shutterstock.com<\/figcaption><\/figure>\n\n\n\n

Fazit: Cybersecurity-Know-how als strategischer Baustein der Risikokontrolle<\/strong><\/p>\n\n\n\n

In Zeiten einer versch\u00e4rften Bedrohungslage wird die Cyber-Kompetenz jedes Einzelnen auf eine harte Probe gestellt und hat erheblichen Einfluss auf die Widerstandsf\u00e4higkeit des gesamten Unternehmens. Der Aufbau menschlicher Cyber-F\u00e4higkeiten ist ein kontinuierlicher Prozess. Unregelm\u00e4\u00dfiger, passiver Frontalunterricht und Tabletop Exercises bringen Unternehmen dabei nicht weiter. F\u00fcr nachhaltigen Lernerfolg und den Aufbau kognitiver Agilit\u00e4t \u2013 sprich der F\u00e4higkeit, sich flexibel an neue Bedrohungsszenarien anpassen zu k\u00f6nnen \u2013 braucht es regelm\u00e4\u00dfiges, klar umrissenes, spannendes und vor allem praxisbezogenes Training, etwa in Form gamifizierter Simulationen. Nur so bleiben Mitarbeiter in einer sich st\u00e4ndig ver\u00e4nderten Bedrohungslandschaft handlungsf\u00e4hig \u2013 und Unternehmen widerstandsf\u00e4hig.<\/p>\n","protected":false},"excerpt":{"rendered":"

Den Ergebnissen der Studie \u201eImperfect People, Vulnerable Applications\u201c von Immersive Labs in Zusammenarbeit mit Osterman Research zufolge sind viele Entwickler der Meinung, das Thema Anwendungssicherheit falle nicht in ihren Aufgabenbereich. Wie also l\u00e4sst sich das \u00e4ndern? <\/p>\n","protected":false},"author":81,"featured_media":22764,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,197],"tags":[7808,2206,17028,5557,8659],"class_list":["post-22762","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-entwicklung","tag-anwendungssicherheit","tag-automatisierung","tag-immersive-labs","tag-osterman-research","tag-resilienz"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22762"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22762\/revisions"}],"predecessor-version":[{"id":22766,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22762\/revisions\/22766"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22764"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}