Fehler in der Anwendungssicherheit oft durch einfache Schritte leicht zu vermeiden

Julian Totzek-Hallhuber von Veracode gibt 5 Tipps

[datensicherheit.de, 07.03.2018] Julian Totzek-Hallhuber, „Principal Solution Architect“ bei Veracode, geht in einer aktuellen Stellungnahme auf fünf Fehler in der Anwendungssicherheit ein, welche durch einfache Schritte leicht vermieden werden könnten. Die Aktivitäten der IT-Sicherheit erzielten häufig nicht die erwünschten Resultate. Totzek-Hallhuber: „Dass in solchen Fällen guter Rat teuer ist, ist eine Binsenweisheit. Denn oftmals sind es relativ simple Dinge, die die effiziente Umsetzung einer Sicherheitsstrategie behindern.“

1. Keine Risikobewertung von Anwendungen
   Kunden sollten eine Aufstellung ihrer geschäftskritischen Anwendungen anfertigen und diese in Risikogruppen einteilen. Dies sei deshalb wichtig, da für die Anwendungssicherheit keine unbegrenzten Mittel zur Verfügung stünden. Wenn ein Unternehmen zu Beginn seiner Sicherheitsoffensive beispielsweise 20 Anwendungen schützen möchte, müssten diejenigen Vorrang haben, die am meisten gefährdet sind.
   Das könnten Apps sein, die personenbezogene Informationen oder Kreditkartendaten verarbeiten. Die Bedeutung einer bestimmten Anwendung für den eigenen Geschäftserfolg zu kennen stelle sicher, dass dieser Anwendung die nötige Aufmerksamkeit in puncto Sicherheit, aber auch Performance zu Teil wird. Ein solches Risiko-Ranking von Apps sei ein guter Anfang für ein umfassendes Sicherheitskonzept.
2. Sicherheitsrichtlinien werden nicht effizient eingesetzt
   Sicherheitsrichtlinien würden normalerweise von IT-Sicherheitsexperten definiert und schrieben vor, welche Sicherheitslücken in einer Anwendung nicht vorkommen dürfen. Unternehmen erließen diese Richtlinien jedoch oft überstürzt und planlos – und schafften auf diese Weise eher mehr Chaos als Ordnung. Wenn in einem Sicherheitsprogramm, das 20 Anwendungen umfasst, zehn verschiedene Richtlinien zur Anwendung kämen, stifte das nur Verwirrung.
   Ein weiterer Fehler sei, die Regeln zu eng zu stecken, speziell für neue Apps. Dadurch werde nicht nur die Compliance negativ beeinflusst, es berge auch einiges Frustrationspotenzial für das Entwickler-Team. Außerdem würden teilweise Richtlinien verwendet, die einfach nicht relevant seien. Eine Legacy-Anwendung, die nicht mehr weiterentwickelt wird, brauche zum Beispiel keine vierteljährlichen Scans.
3. Die Führungsebene verfügt nicht über die richtigen Zahlen
   Zahlen und Metriken gebe es in der IT-Sicherheit zuhauf. Doch welche davon sind für einen CIO tatsächlich von Interesse? Welche lassen sich in harte Business-KPIs übersetzen? Dafür biete sich die konkrete Anzahl der Anwendungen an, die ein Sicherheitsprogramm umfasst.
   Außerdem lasse sich der Erfolg des Programms sehr gut beurteilen, wenn man die Compliance-Rate über längere Zeit misst. Danach könne der Sicherheitschef eines Unternehmens sehr gut beurteilen, ob sein Sicherheitsprogramm gut performt, oder ob noch Nachbesserungsbedarf besteht.
4. Entwickler sind nicht in den Planungsprozess involviert
   Wenn die Entwickler nicht wissen, was von ihnen genau erwartet wird, um eine Anwendung sicher zu machen, könne man von ihnen auch keinen Erfolg erwarten. Doch es gehe nicht darum, dem Entwicklungs-Team einfach nur zu sagen, was es tun soll. Stattdessen sollten Entwickler von Anfang an in den Strategiefindungsprozess einbezogen werden.
   Dadurch ergäben sich Synergien und neue kreative Ideen könnten entstehen. Ganz konkret könnten Unternehmen eine interne IT-Sicherheitsseite einrichten, auf der alle Beteiligten Informationen teilen können. Der Schlüssel zum Erfolg eines Sicherheitsprogramms sei effektive und transparente Kommunikation.
5. Unternehmen holen sich keine Hilfe
   Ein erfolgreiches Anwendungssicherheitsprogramm sei eine Partnerschaft zwischen einem Unternehmen und seinem IT-Sicherheitsdienstleister. Jeder Partner bringe in diese Kooperation seine eigenen Kenntnisse ein.
   Die Kompetenzen und Erfahrungen eines externen Partners ermöglichten eine andere, differenzierte Perspektive auf die Sicherheitsproblematik. Mit ihrem Wissen aus früheren Projekten könnten die IT-Sicherheitsexperten von außen die Formulierung und Umsetzung einer Strategie von Anfang an begleiten und so dabei helfen, unnötige Fehler zu vermeiden.