[datensicherheit.de, 14.02.2022] Zum unlängst erfolgten Hacker-Angriff auf das weltweit größte unabhängige Tanklogistikunternehmen Oiltanking hat sich auch Julian Totzek-Hallhuber, Solutions Architect bei Veracode, Gedanken zum Thema Cyber-Sicherheit gemacht. Er geht in seiner aktuellen Stellungnahme darauf ein, wie wichtig es für Kritis-Unternehmen sein sollte, an allen digitalen Fronten für Sicherheit zu sorgen, und erklärt nach eigenen Angaben, warum die Zusammenarbeit mit Software-Entwicklern und Sicherheitsteams in dieser Hinsicht unerlässlich ist. Ende Januar 2022 hatten der Tanklogistiker Oiltanking sowie der Mineralölhändler Mabanaft, beide Tochterunternehmen des Hamburger Konzerns Marquard & Bahls, gemeldet, Opfer eines Cyber-Angriffs geworden zu sein – nach ersten Einschätzungen vermutlich eine Ransomware-Attacke. Dieser Angriff auf das weltweit größte unabhängige Tanklogistikunternehmen hatte demnach zur Folge, dass es seine Be- und Entladesysteme vollständig außer Betrieb nehmen musste. Unter den betroffenen Abnehmern, die keinen Kraftstoff mehr erhielten, sollen sich zahlreiche mittelständische Tankstellen, aber auch Großkonzerne wie Shell, befunden haben.

Foto: Veracode

Julian Totzek-Hallhuber: Im Einsatz befindliche Software sollte auf einem Security-by-Design-Ansatz aufbauen!

Nun auch Cybercrime-Kampagnen gegen Kritis in Deutschland

„Die Cyber-Attacke auf Oiltanking erinnert stark an jene auf das U.S. Pipelineunternehmen Colonial Pipeline im Mai letzten Jahres“, so Totzek-Hallhuber. Dabei sei es der ,DarkSide‘-Gruppe gelungen, ein altes Mitarbeiter-Account zu kapern und Ransomware in das IT-System zu schleusen. Colonial habe daraufhin den Pipeline-Betrieb eingestellt, was 45 Prozent der Kraftstoffversorgung an der US-Ostküste für mehrere Tage lahmgelegt habe.

Totzek-Hallhuber warnt: „Nun haben solche Cybercrime-Kampagnen auch Versorgungsunternehmen in Deutschland erreicht, doch im Gegensatz zu Colonial Pipeline kam es aus einem Grund nicht zu einem Totalausfall und Chaos unter Verbrauchern: Die Kraftstoffversorgung konnte über 26 unabhängige Tanklagerunternehmen mit mehr als 100 Standorten in Deutschland schlichtweg umverteilt werden. Dennoch sollten wir alles in unserer Macht Stehende tun, um zu verhindern, dass diese Angriffe zur Gewohnheit werden.“

Kritis-Schwachstellen schnell identifizieren und beheben, bevor Angreifer sie ausnutzen können!

So habe es zum Angriff kommen können: „Oiltanking betreibt und überwacht seine Tanklager digital und vollautomatisiert. Was einerseits ein Segen ist hinsichtlich effizienterer Prozesse, ist gleichzeitig ein Fluch. Sind diese Systeme nicht ausreichend geschützt, ist es für Cyber-Kriminelle ein leichtes Spiel, sich Zugang zu IT-Systemen zu verschaffen.“ Ziel von Kritis-Unternehmen sollte es sein, an allen digitalen Fronten für Sicherheit zu sorgen und sicherzustellen, dass die sich im Einsatz befindliche Software auf einem Security-by-Design-Ansatz aufbaut.

„Chief Information Officers“ müssten insbesondere der Anwendungssicherheit eine höhere Bedeutung zukommen lassen. Hierfür gelte es, eng mit Software-Entwicklern und Sicherheitsteams zusammenzuarbeiten und regelmäßige Scans von Codes und Anwendungen durchzuführen. Totzek-Hallhuber betont abschließend: „Dadurch lassen sich Schwachstellen schnell identifizieren und beheben, bevor Angreifer sie ausnutzen können. Schließlich etablieren wir in so vielen Bereichen hohe Sicherheitsstandards – warum dann nicht auch, wenn es um Cyber-Kriminalität geht?“

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2022
Cyber-Angriff auf Oiltanking legt Shell-Zulieferer lahm / Zunehmend stehen Kritische Infrastrukturen und Lieferketten im Fokus Cyber-Krimineller, warnt auch René Golembewski

[datensicherheit.de, 21.09.2021] Am 26. September 2021 findet die nächste Bundestagswahl statt. Obwohl aufgrund des analogen Wahl- und Auszählungsverfahrens diese Wahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker gilt, sollte beachtet werden, dass auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, es im Umfeld Gefahren gebe. Julian Totzek-Hallhuber, „Solution Architect“ bei Veracode, beschreibt in seiner aktuellen Stellungnahme, wie Hacker die Wahl dennoch beeinflussen könnten. Um sich zu schützen, könne man Politikern und Parteien eigentlich auch nur den gleichen Rat geben, wie Privatpersonen und Unternehmen: „Alle Accounts und Netzwerkzugänge sollten mit Multifaktor-Authentifizierung gesichert werden und IT-Beauftragte müssen regelmäßig über Gefahren und aktuelle Praktiken der Kriminellen aufklären.“ Anwendungssicherheit spiele auch im politischen Betrieb eine wesentliche Rolle und Institutionen sollten jede Software auf Sicherheitslücken prüfen und sicherstellen, dass Schwachstellen schnell behoben werden.

Fake News: Bundestagswahl im Visier von Trollen

Totzek-Hallhuber erläutert: „Obwohl es hierbei zugegebenermaßen nicht um echte Cyber-Kriminalität geht, und um ,Fake News‘ zu verbreiten, muss man auch noch kein Hacker sein, doch mit ein wenig IT-Kenntnissen und krimineller Energie lässt sich die Wirkung der Falschbehauptungen natürlich deutlich steigern.“
Dies beginne bei gekauften „Likes“ und „Followers“ und gehe über „Troll-Farmen“ bis hin zu „Bots“. „Gibt es gegen letztere recht wirksame technische Mittel, ist der Kampf gegen menschliche ,Trolle‘ schwieriger, hier bleibt eigentlich nur: Immer wachsam bleiben, Informationen hinterfragen, Quellen prüfen und einen alten Internet-Grundsatz befolgen: ,Don’t feed the Troll!‘“, rät Totzek-Hallhuber.

Nicht nur zur Bundestagswahl: Politische Ransomware könnte Politiker und Parteien bedrohen

Ransomware kenne man eigentlich als eine digitale Form der Erpressung, mit dem Ziel der Vereinnahmung eines Lösegeldes – daher schließlich auch der englische Begriff. Die Angriffsvektoren und die verwendete Verschlüsselungssoftware ließe sich aber ebenso gegen Parteien oder Institutionen einsetzen. Nur wäre dann das vorrangige Ziel eben kein Lösegeld, sondern beispielsweise das Lahmlegen des gegnerischen Wahlkampfes.
„Um Verschlüsselungssoftware einzuschleusen ist natürlich erst einmal ein Zugang nötig. Den versuchen Hacker in der Regel mittels Phishing zu erlangen“, warnt Totzek-Hallhuber. Es werde z.B. von Phishing-Angriffen gegen Bundestagsabgeordnete berichtet, glücklicherweise habe allerdings nur eine kleine Zahl der Politiker diese E-Mails überhaupt geöffnet.

Identitätsdiebstahl als möglicher Angriffsvektor im Umfeld der Bundestagswahl

Identitätsdiebstahl sei ein enormes Problem im Internet, vor dem auch Politiker nicht gefeit seien – Berichte darüber gebe es immer wieder. Oft bleibe es dabei bei „einfachen“ Betrügereien, welche auch jeden anderen Bürger treffen könnten.
Es gebe aber auch Fälle, in denen die Täter keine finanziellen Ziele verfolgten, sondern ihre Opfer öffentlich diskreditieren wollten. Dies sei beispielsweise im Frühjahr 2021 in Polen geschehen: Hacker hätten sich Zugang zu einem Twitter-Account verschafft, um dort falsche „Tweets“ und freizügige Fotos zu veröffentlichen – mit dem offensichtlichen Ziel, den Konto-Inhaber in ein schlechtes Licht zu rücken.

Schwachstellen in Anwendungen könnten Ergebnisse der Bundestagswahl beeinflussen

„Bei der Bundestagswahl 2017 sollte das Programm ,PC-Wahl‘ zum Einsatz kommen, das damals noch mehrere Bundesländer zur Verwaltung von Wahlergebnissen nutzen, obwohl es bereits als veraltet galt“, berichtet Totzek-Hallhuber. Der Chaos Computer Club habe damals eklatante Schwachstellen in dieser Anwendung aufdecken können. Beispielsweise sei dort die Übertragung der Wahlergebnisse zunächst gar nicht verschlüsselt gewesen, wodurch eine „Man-in-the-Middle“-Attacke ein leichtes Unterfangen gewesen wäre. „Die Hersteller besserten das Programm bis zur Wahl nach und Angriffe gab es glücklicherweise auf diesem Weg keine.“
2017 sei bereits eine unabhängige Zertifizierung von Wahlsoftware gefordert worden, doch passiert sei bis heute nichts. Auch der Nachfolger von PC-Wahl, „Votemanager“, sei nicht zertifiziert worden und habe nach Meinung von Experten immer noch Schwachstellen aufgewiesen. „Dieses Programm wurde dennoch bei Kommunalwahlen eingesetzt. Mittlerweile sollen die Fehler laut Hersteller behoben sein und viele Kommunen werden bei der Bundestagswahl auf ,Votemanager‘ setzen.“ Laut dem aktuellen „State of Software Security Report“ schneide der öffentliche Sektor im Vergleich zu allen anderen untersuchten Industrien allerdings am schlechtesten ab: „Software, die im öffentlichen Sektor und in Behörden eingesetzt wird, weist die meisten Schwachstellen auf. Auch die Zeit, die benötigt wird, um Schwachstellen zu beheben, dauert im öffentlichen Sektor vergleichsweise lang“, so Totzek-Hallhuber.

Bundestagswahl. Auf subtile Manipulation achten!

Den einen, großen „Wahl-Hack“ im Stil eines James-Bond-Bösewichts werde es mit ziemlicher Sicherheit nicht geben. Manipulation von Wahlen und Politik im Allgemeinen spiele sich in der digitalen Welt von heute wesentlich subtiler ab und sei deshalb vielleicht umso gefährlicher. „Hacker, die Wahlen manipulieren oder Politiker diskreditieren wollen, werden sich auf bekannte und ,praxiserprobte‘ Angriffsvektoren und Methoden verlassen“, schätzt Totzek-Hallhuber.
Dazu gehöre Identitätsdiebstahl mittels Phishing, das leider immer noch viel zu oft funktioniere. Mit durch Phishing erbeuteten Zugangsdaten könnten Kriminelle auch weiteres Unheil anrichten, etwa sensible Daten veröffentlichen oder wichtige Informationen verschlüsseln oder löschen. Daneben würden Hacker auch immer gezielt nach Schwachstellen in Software suchen, welche bei Wahlen zum Einsatz komme – egal ob sie direkt der Stimmabgabe oder nur der Auszählung, beziehungsweise Übermittlung der Stimmen diene.

Weitere Informationen zum Thema:

Der Bundeswahlleiter
Bundestagswahl 2021 / Erkennen und Bekämpfen von Desinformation

Süddeutsche Zeitung, Constanze von Bullion, 14.07.2021
Bundestagswahl als Hacker-Ziel: Stimmzettel sind „old school“, aber sicher

c’t, Fabian A. Scherschel, 20/2017
Lachnummer PC-Wahl / Hacker knacken Bundestagswahl-Software

FrankfurterRundschau, Stefan Simon, 21.07.2021
Software für Hessenwahl ist fehlerhaft – Fachleute warnen: Ergebnisse lassen sich manipulieren

Kommune21, 14.6.2021
Fachverfahren: Wahlen sind hochsensibel

VERACODE
State of Software Security v11

[datensicherheit.de, 25.05.2021] Die Einführung der Datenschutzgrundverordnung (DSGVO) jährt sich am 25. Mai 2021 bereits zum dritten Mal. Diese soll die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung schützen – ein Verstoß gegen deren Richtlinien kann für Unternehmen weitreichende Konsequenzen haben. Dennoch stellt die Verordnung offensichtlich auch nach drei Jahren für viele Unternehmen weiterhin eine große Herausforderung dar, denn im Kontext der zunehmenden Cloud-Nutzung gibt es zahlreiche „Stolpersteine“ – die meisten Anwendungen und Daten in der Cloud werden nämlich auf Servern außerhalb der EU gespeichert, wodurch sich oft DSGVO-Fallstricke für europäische Unternehmen ergeben. Julian Totzek-Hallhuber, „Solution Architect“ bei Veracode, kommentiert in seiner aktuellen Stellungnahme das Jubiläum der DSGVO und erklärt, worauf es bei der DSGVO-Konformität ankommt.

Foto: Veracode

Julian Totzek-Hallhuber: Beschleunigten Cloud-Adoption hat insbesondere neue Herausforderung der Datenspeicherung ans Licht gebracht

Regulatorische und organisatorische Anforderungen im Rahmen der DSGVO erfüllen

„Seit der Einführung der DSGVO vor drei Jahren hat sich die IT-Sicherheitslandschaft im Rahmen einiger technologischer Fortschritte weiterentwickelt. Die rasche Einführung dieser Innovationen kombiniert mit der beschleunigten Cloud-Adoption hat insbesondere eine neue Herausforderung ans Licht gebracht: Datenspeicherung“, so Totzek-Hallhuber.
Die meisten Anwendungen in der Cloud würden in der Regel außerhalb der EU gehostet und hierdurch ergäben sich oftmals DSGVO-Fallstricke für europäische Unternehmen. „Durch die Bereitstellung von cloud-nativen Software-Sicherheitstests mit Datenspeicherung innerhalb der EU, ermöglichen wir es EU-Kunden, regulatorische und organisatorische Anforderungen im Rahmen der DSGVO zu erfüllen und gleichzeitig weiterhin schnell und einfach sichere Software zu liefern.“

Anzahl an Möglichkeiten der Verletzung von DSGVO-Richtlinien vervielfacht

Anlässlich des diesjährigen Jubiläums der DSGVO sei es unerlässlich, auf die sich verändernde Landschaft für Entwickler zu reagieren, denn diese müssten weiterhin innovativ arbeiten, um Anwendungen bereitstellen zu können. „Um den Schutz der Daten zu gewährleisten, ist die Zusammenarbeit zwischen Sicherheitsteams, Entwicklern und Sicherheitsverantwortlichen ein wesentlicher Faktor für den Erfolg eines jeden Anwendungssicherheits-Programmes.“
Da sich die schiere Anzahl an Möglichkeiten zur Verletzung der DSGVO-Richtlinien kontinuierlich vervielfache, erhöhe sich auch das Risiko von entsprechenden Strafzahlungen. Totzek-Hallhuber fordert: „Daher sollte der Einsatz von ,Best Practices‘ beim Schreiben sicheren Codes von Anfang an höchste Priorität haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 20.01.2021
DSGVO: Schadensersatztabelle gibt Überblick über aktuelle Urteile und Schadenssummen / Latham DSGVO-Schadensersatztabelle online verfügbar

[datensicherheit.de, 08.01.2019] Nach aktuellen Erkenntnissen zum Datendiebstahl etlicher privater Informationen von Politikern soll es sich um einen Einzeltäter handeln, der die Daten angeblich aus Ärger über Politiker veröffentlicht habe. Bundesinnenminister Horst Seehofer hat in einer Pressekonferenz am 8. Januar 2019 bekanntgegeben, dass im Zuge dieses Vorfalls 350 neue Planstellen für das BSI errichtet würden und es insgesamt 160 neue Stellen für Cyber-Sicherheit im Bund geben soll, meldet Veracode und kommentiert den Fall.

Cyber-Sicherheit fängt schon im Kleinen an

Seehofer bewertet demnach die Cyber-Sicherheitslage im Allgemeinen als stabil und hat Früherkennung und Sensibilisierung rund um das Thema Cyber-Sicherheit sowohl in Institutionen als auch in Privathaushalten als die beiden wichtigsten Faktoren in der Bekämpfung von Cyber-Kriminalität benannt.
„Tatsächlich fängt Cyber-Sicherheit schon im Kleinen an“, sagt Julian Totzek-Hallhuber, „Principal Solution Architect“ bei Veracode. So könne jeder einzelne bereits durch simple Maßnahmen die eigene Sicherheit beim Surfen verstärken. Der aktuelle Datendiebstahl bei deutschen Prominenten und Politikern zeige erneut, „dass wir nicht ausreichend auf unsere Datensicherheit achten“.

Mehrfach verwendete, einfache Passwörter erleichtern Hacker-Angriffe

Im aktuellen Fall gehe es nach bisheriger Sachlage tatsächlich nicht um einen technisch versierten Angriff auf IT-Systeme, sondern zeige deutlich wie leicht mehrfach verwendete und einfache Passwörter ausreichten, um persönliche Daten zu stehlen.
Grundsätzlich sollten immer komplizierte Passwörter mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen in einer Länge von mindestens acht Zeichen verwendet werden. Eine einfache Methode solche Passwörter zu bilden, sei die Verwendung der Anfangsbuchstaben eines leicht zu merkenden Satzes wie zum Beispiel „Mein Haus wurde 1978 erbaut und hat die Hausnummer 12“ – MHw1978euhdH12.

Ausprobieren der Passwörter erschweren!

„Wenn zusätzlich noch ein Sonderzeichen eingebaut wird, ist ein solches Passwort nur sehr schwer zu erraten oder zu berechnen“, so Totzek-Hallhuber.
Ferner sollten für alle Logins unterschiedliche Passwörter verwendet werden. Dies sei heutzutage nicht immer einfach bei der Menge an Benutzernamen und Passwörtern, die wir uns merken müssen, aber auch hierbei könnten sogenannte Password-Manager helfen, die Flut an Daten zu verwalten.

Weitere Informationen zum Thema:

datensicherheit.de, 08.01.2019
Fall Orbit: eco warnt vor gesetzgeberischen Schnellschüssen

datensicherheit.de, 07.01.2019
Nutzung moderner Kommunikationsmittel erfordert Aufmerksamkeit

datensicherheit.de, 04.01.2019
BSI kommentiert unbefugte Veröffentlichung gestohlener Daten und Dokumente

datensicherheit.de, 04.01.2019
Datendiebstahl: Warnung vor eiligen Schuldzuweisungen

[datensicherheit.de, 20.04.2018] Im bundeseinheitlichen Rechtsanwaltsverzeichnis soll vor Kurzem eine große Sicherheitslücke entdeckt worden sein, zurückzuführen auf eine veraltete, für „Oracle“-Angriffe anfällige „Java“-Komponente. Dieses Anwaltsregister ist Teil des Besonderen elektronischen Anwaltspostfachs (beA) – theoretisch hätten Angreifer die Anwaltsdatenbank somit manipulieren können. Bereits im Januar 2018 hatte sich ein ähnlicher Vorfall mit einigen anderen Anwendern dieser Softwarekomponente ereignet. Julian Totzek-Hallhuber, „Principal Solution Architect“ bei CA Veracode, hat den aktuellen Vorfall kommentiert.

Anscheinend nichts gelernt…

Totzek-Hallhuber: „Man sollte meinen, die Sicherheit von Drittanbietern sei für Unternehmen ein wichtiges Thema. Immerhin mussten Ende letzten Jahres knapp 150 Millionen Datensätze in den USA dran glauben, weil Angreifer eine Schwachstelle in der ,struts2‘-Bibliothek ausnutzen konnten.“
Doch wie das aktuelle Beispiel zeige, habe man anscheinend nichts gelernt.

Beinahe grob fahrlässig…

Laut dem „Veracode SoSS-Report“ basierten ca. 80 Prozent der untersuchten Applikationen auf Drittanbieter-Komponenten. Selbst wenn Entwickler in „Secure Coding“ geschult sind, sei es gefährlich, Drittanbieter-Komponenten einfach zu ignorieren.
Diesen Aspekt dann nicht mal in die Applikations-Sicherheitsstrategie zu integrieren, sei „beinahe grob fahrlässig“.

Liste der verwendeten Komponenten und bekannten Schwachstellen erstellen!

„Was also sollte man tun? Zuerst empfiehlt es sich, eine Liste der verwendeten Komponenten und deren bekannten Schwachstellen zu erstellen – um dann seinen Entwicklern auch eine einfache Möglichkeit zu geben, die Verwendung dieser Komponenten zu analysieren“, empfiehlt Totzek-Hallhuber.
„Veracode hat deswegen Source Clear übernommen, den einzigen Anbieter am Markt, der verifiziert, ob die bekannte Schwachstelle überhaupt in der Applikation genutzt wird und von Angreifern ausgenutzt werden kann,“ so Totzek-Hallhuber.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre / Anwälte kritisieren Fehlinvestition und fordern personellen Neuanfang

datensicherheit.de, 22.01.2018
beA: Deutscher Anwaltverein fordert Vorrang für die Sicherheit / Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“

[datensicherheit.de, 07.03.2018] Julian Totzek-Hallhuber, „Principal Solution Architect“ bei Veracode, geht in einer aktuellen Stellungnahme auf fünf Fehler in der Anwendungssicherheit ein, welche durch einfache Schritte leicht vermieden werden könnten. Die Aktivitäten der IT-Sicherheit erzielten häufig nicht die erwünschten Resultate. Totzek-Hallhuber: „Dass in solchen Fällen guter Rat teuer ist, ist eine Binsenweisheit. Denn oftmals sind es relativ simple Dinge, die die effiziente Umsetzung einer Sicherheitsstrategie behindern.“

1. Keine Risikobewertung von Anwendungen
   Kunden sollten eine Aufstellung ihrer geschäftskritischen Anwendungen anfertigen und diese in Risikogruppen einteilen. Dies sei deshalb wichtig, da für die Anwendungssicherheit keine unbegrenzten Mittel zur Verfügung stünden. Wenn ein Unternehmen zu Beginn seiner Sicherheitsoffensive beispielsweise 20 Anwendungen schützen möchte, müssten diejenigen Vorrang haben, die am meisten gefährdet sind.
   Das könnten Apps sein, die personenbezogene Informationen oder Kreditkartendaten verarbeiten. Die Bedeutung einer bestimmten Anwendung für den eigenen Geschäftserfolg zu kennen stelle sicher, dass dieser Anwendung die nötige Aufmerksamkeit in puncto Sicherheit, aber auch Performance zu Teil wird. Ein solches Risiko-Ranking von Apps sei ein guter Anfang für ein umfassendes Sicherheitskonzept.
2. Sicherheitsrichtlinien werden nicht effizient eingesetzt
   Sicherheitsrichtlinien würden normalerweise von IT-Sicherheitsexperten definiert und schrieben vor, welche Sicherheitslücken in einer Anwendung nicht vorkommen dürfen. Unternehmen erließen diese Richtlinien jedoch oft überstürzt und planlos – und schafften auf diese Weise eher mehr Chaos als Ordnung. Wenn in einem Sicherheitsprogramm, das 20 Anwendungen umfasst, zehn verschiedene Richtlinien zur Anwendung kämen, stifte das nur Verwirrung.
   Ein weiterer Fehler sei, die Regeln zu eng zu stecken, speziell für neue Apps. Dadurch werde nicht nur die Compliance negativ beeinflusst, es berge auch einiges Frustrationspotenzial für das Entwickler-Team. Außerdem würden teilweise Richtlinien verwendet, die einfach nicht relevant seien. Eine Legacy-Anwendung, die nicht mehr weiterentwickelt wird, brauche zum Beispiel keine vierteljährlichen Scans.
3. Die Führungsebene verfügt nicht über die richtigen Zahlen
   Zahlen und Metriken gebe es in der IT-Sicherheit zuhauf. Doch welche davon sind für einen CIO tatsächlich von Interesse? Welche lassen sich in harte Business-KPIs übersetzen? Dafür biete sich die konkrete Anzahl der Anwendungen an, die ein Sicherheitsprogramm umfasst.
   Außerdem lasse sich der Erfolg des Programms sehr gut beurteilen, wenn man die Compliance-Rate über längere Zeit misst. Danach könne der Sicherheitschef eines Unternehmens sehr gut beurteilen, ob sein Sicherheitsprogramm gut performt, oder ob noch Nachbesserungsbedarf besteht.
4. Entwickler sind nicht in den Planungsprozess involviert
   Wenn die Entwickler nicht wissen, was von ihnen genau erwartet wird, um eine Anwendung sicher zu machen, könne man von ihnen auch keinen Erfolg erwarten. Doch es gehe nicht darum, dem Entwicklungs-Team einfach nur zu sagen, was es tun soll. Stattdessen sollten Entwickler von Anfang an in den Strategiefindungsprozess einbezogen werden.
   Dadurch ergäben sich Synergien und neue kreative Ideen könnten entstehen. Ganz konkret könnten Unternehmen eine interne IT-Sicherheitsseite einrichten, auf der alle Beteiligten Informationen teilen können. Der Schlüssel zum Erfolg eines Sicherheitsprogramms sei effektive und transparente Kommunikation.
5. Unternehmen holen sich keine Hilfe
   Ein erfolgreiches Anwendungssicherheitsprogramm sei eine Partnerschaft zwischen einem Unternehmen und seinem IT-Sicherheitsdienstleister. Jeder Partner bringe in diese Kooperation seine eigenen Kenntnisse ein.
   Die Kompetenzen und Erfahrungen eines externen Partners ermöglichten eine andere, differenzierte Perspektive auf die Sicherheitsproblematik. Mit ihrem Wissen aus früheren Projekten könnten die IT-Sicherheitsexperten von außen die Formulierung und Umsetzung einer Strategie von Anfang an begleiten und so dabei helfen, unnötige Fehler zu vermeiden.