[datensicherheit.de, 05.09.2022] Die Ergebnisse der Veracode-Studie „State of Software Security“ (SoSS) zeigen nach eigenen Angaben, dass die Finanzbranche bei vergleichbar geringer Anzahl von Schwachstellen im Bereich der Anwendungssicherheit dennoch beim Thema Behebungsrate hinterherhinkt – 30 Prozent der Open-Source-Fehler sind demnach nach zwei Jahren noch immer nicht behoben.

Finanzbranche im Mittelfeld: 18 Prozent der Anwendungen mit weitreichender Sicherheitslücke

Die SoSS-Studie von Veracode zeige auf, „dass der Finanzsektor im Branchenvergleich bei der Anzahl der Schwachstellen mit am besten abschneidet“ – aber dennoch eine der niedrigsten Behebungsquoten für Software-Sicherheitslücken aufweise. Auch bei schwerwiegenden, ein ernsthaftes Risiko für die Anwendung darstellenden Schwachstellen liege der Sektor im Mittelfeld: 18 Prozent der Anwendungen enthielten solch eine weitreichende Sicherheitslücke. „Dies verdeutlicht, dass Finanzunternehmen sowohl der Identifizierung als auch der Behebung dieser Schwachstellen deutlich mehr Priorität einräumen sollten.“

Zu diesen Ergebnissen kommt laut Veracode die jährliche SoSS-Studie des Unternehmens, „in der 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Finanzen, Technologie, Fertigung, Einzelhandel, Gesundheitswesen und dem öffentlichen Sektor analysiert wurden“. Von den sechs untersuchten Branchen weise der Finanzsektor mit 73 Prozent den zweitniedrigsten Anteil an Anwendungen mit Sicherheitslücken auf. In der SoSS-Studie aus dem letzten Jahr weise die Branche noch die geringste Anzahl an Software-Sicherheitslücken aller Sektoren auf, „wurde aber in der diesjährigen Studie von der Fertigungsindustrie überholt“. Obwohl der Finanzdienstleistungssektor insgesamt weniger Schwachstellen aufweise, liege er bei der Behebung dieser Schwachstellen zusammen mit dem Technologiewesen und dem öffentlichen Sektor an letzter Stelle.

Anwendungen im Finanzsektor zwar mit weniger Sicherheitslücken als im letzten Jahr – aber Behebungsrate hinkt hinterher

„Einer der Vorteile unserer langjährigen Zusammenarbeit mit Software-Entwicklern ist, dass Veracode die Veränderungen in den Entwicklungspraktiken der verschiedenen Branchen im Laufe der Zeit beobachten kann. Wir haben festgestellt, dass Anwendungen im Finanzsektor zwar weniger Sicherheitslücken aufweisen als im letzten Jahr, die Branche aber bei der Behebungsrate hinter anderen Branchen zurückbleibt“, berichtet Chris Eng, „Chief Research Officer“ bei Veracode. Ihre Untersuchung habe gezeigt, dass Sicherheitstrainings die Behebungsgeschwindigkeit deutlich erhöhen könnten.

Eng führt aus: „Unternehmen, deren Entwicklungsteams ein praktisches Training mit realen Anwendungen absolviert haben, beheben Schwachstellen 35 Prozent schneller als Unternehmen ohne ein solches Training.“ Diese Studie zeige, dass die Finanzbranche ihren Fokus noch stärker auf die Prävalenz von Schwachstellen der sowie deren Behebungsraten legen müsse. Sobald Finanzdienstleister die Behebung priorisierten, machten sie schnellere Fortschritte als die meisten anderen untersuchten Sektoren.

Finanzbranche reagiert relativ schnell auf anfällige Third-party-Bibliotheken

„Die Vorschriften für Sicherheitskontrollen, wie z.B. die Datenschutz-Grundverordnung, haben die Bedeutung der Sicherung der Software-Lieferkette hervorgehoben“, betont Eng. Der Umstand, dass es sich um einen stark regulierten Sektor handele, „könnte eine Erklärung dafür sein, dass die Finanzbranche relativ schnell auf anfällige Third-party-Bibliotheken reagiert, die durch Software Composition Analysis (SCA) entdeckt wurden“.

Schwachstellen in Third-party-Bibliotheken, durch SCA entdeckt, seien in allen Branchen tendenziell länger offen gewesen. 30 Prozent dieser Schwachstellen seien nach zwei Jahren noch nicht behoben worden. „Wenn es um die Behebung von Open-Source-Schwachstellen geht, beseitigt der Finanzsektor seine Schwachstellen im ersten Jahr mit der gleichen Geschwindigkeit wie die anderen untersuchten Branchen.“ Danach habe sich die Behebungsgeschwindigkeit gegenüber dem branchenübergreifenden Durchschnitt um rund einem Monat verbessert.

Auch noch deutliches Verbesserungspotenzial beim Finanzsektor

Obwohl der Finanzsektor die meisten anderen Branchen bei den Behebungszeiten für durch dynamische, SCA- und statische Analysen entdeckte Schwachstellen übertreffe, habe die Studie ergeben, „dass noch deutliches Verbesserungspotenzial besteht, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 Prozent der Schwachstellen benötigt werden“: 116 Tage für die durch DAST, 385 Tage für die durch SCA und 288 Tage für die durch SAST entdeckte Schwachstellen seien immer noch zu lange Zeiträume.

Open-Source-Komponenten machten im Durchschnitt bis zu 90 Prozent der Code-Basis einer Anwendung aus. Es werde daher empfohlen, Applikationen und Code-Änderungen so früh und so häufig wie möglich unter Verwendung von verschiedenen Testmethoden zu scannen, um ungeplante Arbeit bei der Behebung von kritischen Schwachstellen vorzubeugen. Das helfe auch dabei, das Risiko der Einführung von neuen kritischen Open-source-Sicherheitslücken zu minimieren.

Weitere Informationen zum Thema:

VERACODE
State of Software Security v12 / Benchmark Your AppSec Progress Against Your Peers With Our Annual State of Software Security Report

VERACODE
The State of Software Security / Industry Snapshot: Financial Services

VERACODE
Veracode: SoSS Financial Sector

[datensicherheit.de, 21.09.2021] Am 26. September 2021 findet die nächste Bundestagswahl statt. Obwohl aufgrund des analogen Wahl- und Auszählungsverfahrens diese Wahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker gilt, sollte beachtet werden, dass auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, es im Umfeld Gefahren gebe. Julian Totzek-Hallhuber, „Solution Architect“ bei Veracode, beschreibt in seiner aktuellen Stellungnahme, wie Hacker die Wahl dennoch beeinflussen könnten. Um sich zu schützen, könne man Politikern und Parteien eigentlich auch nur den gleichen Rat geben, wie Privatpersonen und Unternehmen: „Alle Accounts und Netzwerkzugänge sollten mit Multifaktor-Authentifizierung gesichert werden und IT-Beauftragte müssen regelmäßig über Gefahren und aktuelle Praktiken der Kriminellen aufklären.“ Anwendungssicherheit spiele auch im politischen Betrieb eine wesentliche Rolle und Institutionen sollten jede Software auf Sicherheitslücken prüfen und sicherstellen, dass Schwachstellen schnell behoben werden.

Fake News: Bundestagswahl im Visier von Trollen

Totzek-Hallhuber erläutert: „Obwohl es hierbei zugegebenermaßen nicht um echte Cyber-Kriminalität geht, und um ,Fake News‘ zu verbreiten, muss man auch noch kein Hacker sein, doch mit ein wenig IT-Kenntnissen und krimineller Energie lässt sich die Wirkung der Falschbehauptungen natürlich deutlich steigern.“
Dies beginne bei gekauften „Likes“ und „Followers“ und gehe über „Troll-Farmen“ bis hin zu „Bots“. „Gibt es gegen letztere recht wirksame technische Mittel, ist der Kampf gegen menschliche ,Trolle‘ schwieriger, hier bleibt eigentlich nur: Immer wachsam bleiben, Informationen hinterfragen, Quellen prüfen und einen alten Internet-Grundsatz befolgen: ,Don’t feed the Troll!‘“, rät Totzek-Hallhuber.

Nicht nur zur Bundestagswahl: Politische Ransomware könnte Politiker und Parteien bedrohen

Ransomware kenne man eigentlich als eine digitale Form der Erpressung, mit dem Ziel der Vereinnahmung eines Lösegeldes – daher schließlich auch der englische Begriff. Die Angriffsvektoren und die verwendete Verschlüsselungssoftware ließe sich aber ebenso gegen Parteien oder Institutionen einsetzen. Nur wäre dann das vorrangige Ziel eben kein Lösegeld, sondern beispielsweise das Lahmlegen des gegnerischen Wahlkampfes.
„Um Verschlüsselungssoftware einzuschleusen ist natürlich erst einmal ein Zugang nötig. Den versuchen Hacker in der Regel mittels Phishing zu erlangen“, warnt Totzek-Hallhuber. Es werde z.B. von Phishing-Angriffen gegen Bundestagsabgeordnete berichtet, glücklicherweise habe allerdings nur eine kleine Zahl der Politiker diese E-Mails überhaupt geöffnet.

Identitätsdiebstahl als möglicher Angriffsvektor im Umfeld der Bundestagswahl

Identitätsdiebstahl sei ein enormes Problem im Internet, vor dem auch Politiker nicht gefeit seien – Berichte darüber gebe es immer wieder. Oft bleibe es dabei bei „einfachen“ Betrügereien, welche auch jeden anderen Bürger treffen könnten.
Es gebe aber auch Fälle, in denen die Täter keine finanziellen Ziele verfolgten, sondern ihre Opfer öffentlich diskreditieren wollten. Dies sei beispielsweise im Frühjahr 2021 in Polen geschehen: Hacker hätten sich Zugang zu einem Twitter-Account verschafft, um dort falsche „Tweets“ und freizügige Fotos zu veröffentlichen – mit dem offensichtlichen Ziel, den Konto-Inhaber in ein schlechtes Licht zu rücken.

Schwachstellen in Anwendungen könnten Ergebnisse der Bundestagswahl beeinflussen

„Bei der Bundestagswahl 2017 sollte das Programm ,PC-Wahl‘ zum Einsatz kommen, das damals noch mehrere Bundesländer zur Verwaltung von Wahlergebnissen nutzen, obwohl es bereits als veraltet galt“, berichtet Totzek-Hallhuber. Der Chaos Computer Club habe damals eklatante Schwachstellen in dieser Anwendung aufdecken können. Beispielsweise sei dort die Übertragung der Wahlergebnisse zunächst gar nicht verschlüsselt gewesen, wodurch eine „Man-in-the-Middle“-Attacke ein leichtes Unterfangen gewesen wäre. „Die Hersteller besserten das Programm bis zur Wahl nach und Angriffe gab es glücklicherweise auf diesem Weg keine.“
2017 sei bereits eine unabhängige Zertifizierung von Wahlsoftware gefordert worden, doch passiert sei bis heute nichts. Auch der Nachfolger von PC-Wahl, „Votemanager“, sei nicht zertifiziert worden und habe nach Meinung von Experten immer noch Schwachstellen aufgewiesen. „Dieses Programm wurde dennoch bei Kommunalwahlen eingesetzt. Mittlerweile sollen die Fehler laut Hersteller behoben sein und viele Kommunen werden bei der Bundestagswahl auf ,Votemanager‘ setzen.“ Laut dem aktuellen „State of Software Security Report“ schneide der öffentliche Sektor im Vergleich zu allen anderen untersuchten Industrien allerdings am schlechtesten ab: „Software, die im öffentlichen Sektor und in Behörden eingesetzt wird, weist die meisten Schwachstellen auf. Auch die Zeit, die benötigt wird, um Schwachstellen zu beheben, dauert im öffentlichen Sektor vergleichsweise lang“, so Totzek-Hallhuber.

Bundestagswahl. Auf subtile Manipulation achten!

Den einen, großen „Wahl-Hack“ im Stil eines James-Bond-Bösewichts werde es mit ziemlicher Sicherheit nicht geben. Manipulation von Wahlen und Politik im Allgemeinen spiele sich in der digitalen Welt von heute wesentlich subtiler ab und sei deshalb vielleicht umso gefährlicher. „Hacker, die Wahlen manipulieren oder Politiker diskreditieren wollen, werden sich auf bekannte und ,praxiserprobte‘ Angriffsvektoren und Methoden verlassen“, schätzt Totzek-Hallhuber.
Dazu gehöre Identitätsdiebstahl mittels Phishing, das leider immer noch viel zu oft funktioniere. Mit durch Phishing erbeuteten Zugangsdaten könnten Kriminelle auch weiteres Unheil anrichten, etwa sensible Daten veröffentlichen oder wichtige Informationen verschlüsseln oder löschen. Daneben würden Hacker auch immer gezielt nach Schwachstellen in Software suchen, welche bei Wahlen zum Einsatz komme – egal ob sie direkt der Stimmabgabe oder nur der Auszählung, beziehungsweise Übermittlung der Stimmen diene.

Weitere Informationen zum Thema:

Der Bundeswahlleiter
Bundestagswahl 2021 / Erkennen und Bekämpfen von Desinformation

Süddeutsche Zeitung, Constanze von Bullion, 14.07.2021
Bundestagswahl als Hacker-Ziel: Stimmzettel sind „old school“, aber sicher

c’t, Fabian A. Scherschel, 20/2017
Lachnummer PC-Wahl / Hacker knacken Bundestagswahl-Software

FrankfurterRundschau, Stefan Simon, 21.07.2021
Software für Hessenwahl ist fehlerhaft – Fachleute warnen: Ergebnisse lassen sich manipulieren

Kommune21, 14.6.2021
Fachverfahren: Wahlen sind hochsensibel

VERACODE
State of Software Security v11

[datensicherheit.de, 25.05.2021] Die Einführung der Datenschutzgrundverordnung (DSGVO) jährt sich am 25. Mai 2021 bereits zum dritten Mal. Diese soll die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung schützen – ein Verstoß gegen deren Richtlinien kann für Unternehmen weitreichende Konsequenzen haben. Dennoch stellt die Verordnung offensichtlich auch nach drei Jahren für viele Unternehmen weiterhin eine große Herausforderung dar, denn im Kontext der zunehmenden Cloud-Nutzung gibt es zahlreiche „Stolpersteine“ – die meisten Anwendungen und Daten in der Cloud werden nämlich auf Servern außerhalb der EU gespeichert, wodurch sich oft DSGVO-Fallstricke für europäische Unternehmen ergeben. Julian Totzek-Hallhuber, „Solution Architect“ bei Veracode, kommentiert in seiner aktuellen Stellungnahme das Jubiläum der DSGVO und erklärt, worauf es bei der DSGVO-Konformität ankommt.

Foto: Veracode

Julian Totzek-Hallhuber: Beschleunigten Cloud-Adoption hat insbesondere neue Herausforderung der Datenspeicherung ans Licht gebracht

Regulatorische und organisatorische Anforderungen im Rahmen der DSGVO erfüllen

„Seit der Einführung der DSGVO vor drei Jahren hat sich die IT-Sicherheitslandschaft im Rahmen einiger technologischer Fortschritte weiterentwickelt. Die rasche Einführung dieser Innovationen kombiniert mit der beschleunigten Cloud-Adoption hat insbesondere eine neue Herausforderung ans Licht gebracht: Datenspeicherung“, so Totzek-Hallhuber.
Die meisten Anwendungen in der Cloud würden in der Regel außerhalb der EU gehostet und hierdurch ergäben sich oftmals DSGVO-Fallstricke für europäische Unternehmen. „Durch die Bereitstellung von cloud-nativen Software-Sicherheitstests mit Datenspeicherung innerhalb der EU, ermöglichen wir es EU-Kunden, regulatorische und organisatorische Anforderungen im Rahmen der DSGVO zu erfüllen und gleichzeitig weiterhin schnell und einfach sichere Software zu liefern.“

Anzahl an Möglichkeiten der Verletzung von DSGVO-Richtlinien vervielfacht

Anlässlich des diesjährigen Jubiläums der DSGVO sei es unerlässlich, auf die sich verändernde Landschaft für Entwickler zu reagieren, denn diese müssten weiterhin innovativ arbeiten, um Anwendungen bereitstellen zu können. „Um den Schutz der Daten zu gewährleisten, ist die Zusammenarbeit zwischen Sicherheitsteams, Entwicklern und Sicherheitsverantwortlichen ein wesentlicher Faktor für den Erfolg eines jeden Anwendungssicherheits-Programmes.“
Da sich die schiere Anzahl an Möglichkeiten zur Verletzung der DSGVO-Richtlinien kontinuierlich vervielfache, erhöhe sich auch das Risiko von entsprechenden Strafzahlungen. Totzek-Hallhuber fordert: „Daher sollte der Einsatz von ,Best Practices‘ beim Schreiben sicheren Codes von Anfang an höchste Priorität haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 20.01.2021
DSGVO: Schadensersatztabelle gibt Überblick über aktuelle Urteile und Schadenssummen / Latham DSGVO-Schadensersatztabelle online verfügbar

[datensicherheit.de, 28.10.2020] Veracode hat nach eigenen Angaben am 28. Oktober 2020 die elfte Ausgabe seiner jährlichen Studie „State of Software Security“ (SoSS) vorgestellt. Daraus gehe hervor, „dass 76 Prozent aller Anwendungen mindestens eine Sicherheitslücke enthalten“. Die diesjährige Analyse, 2020, von 130.000 Anwendungen habe auch ergeben, dass es etwa sechs Monate dauere, bis die zuständigen Teams die Hälfte der gefundenen Sicherheitslücken beheben könnten. Die Ergebnisse zeigten außerdem, dass besonders Open-Source-Schwachstellen zunähmen. Ferner benenne dieser Report einige „Best Practices“, welche dabei helfen könnten, die „Fix Rates“ signifikant zu verbessern.

Abbildung: VERACODE

Report „State of Software Security v11“

Sicherheitslücken – „Nature“ oder „Nurture“

Der Report zeige auch einige „Best Practices“ auf, „die dabei helfen, die ,Fix Rates‘ signifikant zu verbessern“. Veracode unterscheide zwischen Faktoren, „über die die Teams viel oder sehr wenig Kontrolle haben und teilt diese in die Kategorien ,Nature‘ und ,Nurture‘ ein“. Im Bereich „Nature“ fänden sich Parameter wie der Umfang einer Anwendung oder die Unternehmensgröße und „Sicherheitsverschuldung“. „Nurture“ umfasse hingegen Einflussgrößen wie Scan-Häufigkeit und -Rhythmus sowie API-Scanning.

Sicherheitslücken: Fehler rechtzeitig finden und vollumfänglich beheben

Die „SOSS 11“-Studie zeige auf, dass moderne DevSecOps-Praktiken zu höheren Fehlerbehebungsraten führten. Die Verwendung mehrerer Anwendungssicherheits-Scan-Typen, die Arbeit mit kleineren oder moderneren Anwendungen und die Einbettung von Sicherheitstests in die Pipeline über eine API trügen alle dazu bei, die Zeit zur Behebung von Schwachstellen zu verkürzen, selbst bei Anwendungen mit ungünstigen Voraussetzungen auf der „Nature“-Seite. „Das Ziel der Software-Security besteht nicht darin, Anwendungen beim ersten Mal perfekt zu schreiben, sondern darin, Fehler rechtzeitig zu finden und vollumfänglich zu beheben“, erläutert Chris Eng, „Chief Research Officer“ bei Veracode. Selbst wenn sie mit den anspruchsvollsten Umgebungen konfrontiert würden, könnten Entwickler mit der richtigen Schulung und den richtigen Tools spezifische Maßnahmen ergreifen, um die Gesamtsicherheit einer Anwendung zu verbessern.

Die wichtigsten Ergebnisse der Studie zu Sicherheitslücken:

Fehlerhafte Anwendungen sind die Norm:
76 Prozent der Anwendungen wiesen mindestens eine Sicherheitslücke auf, aber nur 24 Prozent hätten schwerwiegende Mängel. Dies sei ein gutes Zeichen dafür, dass die meisten Anwendungen keine kritischen Probleme hätten, die ernsthafte Risiken für die Anwendung darstellten. Häufiges Scannen könne die Zeit, „die benötigt wird, um die Hälfte der gefundenen Lücken zu schließen, um mehr als drei Wochen verkürzen“.

Open-Source-Schwachstellen nehmen zu:
70 Prozent der Anwendungen übernähmen mindestens eine Sicherheitslücke aus ihren Open-Source-Bibliotheken. 30 Prozent der Anwendungen wiesen sogar mehr Mängel in ihren Open-Source-Bibliotheken auf als in intern geschriebenem Code. „Wichtig ist daher eine ganzheitliche Sicht auf die Anwendungssicherheit, die auch Code von Drittanbietern miteinschließt.“

Mehrere Scan-Typen beweisen die Wirksamkeit von DevSecOps:
Teams, die eine Kombination von Scan-Typen einschließlich statischer Analyse (SAST), dynamischer Analyse (DAST) und Software-Composition-Analyse (SCA) verwendeten, verbesserten die „Fix Rates“. „Diejenigen, die SAST und DAST zusammen verwenden, beheben die Hälfte der Fehler 24 Tage schneller.“

Automatisierung ist wichtig:
Unternehmen, die das „Security Testing“ im „Software Development Life Cycle“ (SDLC) automatisierten, „könnten die Hälfte der Schwachstellen 17,5 Tage schneller adressieren als jene, die weniger automatisiert testen“.

Sicherheitsverschuldung zu reduzieren ist entscheidend:
Der Zusammenhang zwischen häufigem Scannen von Anwendungen und schnelleren Korrekturzeiten sei im im vorherigen „State of Software Security“-Report dargestellt worden. „Die aktuelle Studie ergab nun, dass der Abbau von Sicherheitsverschuldung, also die Behebung des Rückstands bekannter Fehler, das Gesamtrisiko senkt.“ Veracode stellt demnach in der diesjährigen Studie außerdem fest, „dass bei älteren Anwendungen mit hoher Fehlerdichte die Behebungszeiten wesentlich langsamer sind, so dass durchschnittlich 63 Tage hinzukommen, um die Hälfte der Sicherheitslücken zu schließen“.

Über die Sicherheitslücken-Studie…

Die Studie „State of Software Security (SOSS) 11“ von Veracode sei ein „umfassender Überblick über die Daten der Anwendungssicherheitstests von Scans von mehr als 130.000 aktiven Anwendungen, die innerhalb von Veracodes Kundenstamm von mehr als 2.500 Unternehmen durchgeführt wurden“. Es handele sich dabei um den branchenweit umfassendsten Satz von Anwendungssicherheits-Benchmarks. Veracode habe mit „Data Scientists“ des Cyentia-Instituts zusammengearbeitet, um neue Bedrohungen besser zu visualisieren und zu verstehen und um herauszufinden, wie Entwickler Anwendungen besser und sicherer machen könnten.

Weitere Informationen zum Thema:

VERACODE
State of Software Security v11 / Read the Report

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

[datensicherheit.de, 07.03.2018] Julian Totzek-Hallhuber, „Principal Solution Architect“ bei Veracode, geht in einer aktuellen Stellungnahme auf fünf Fehler in der Anwendungssicherheit ein, welche durch einfache Schritte leicht vermieden werden könnten. Die Aktivitäten der IT-Sicherheit erzielten häufig nicht die erwünschten Resultate. Totzek-Hallhuber: „Dass in solchen Fällen guter Rat teuer ist, ist eine Binsenweisheit. Denn oftmals sind es relativ simple Dinge, die die effiziente Umsetzung einer Sicherheitsstrategie behindern.“

1. Keine Risikobewertung von Anwendungen
   Kunden sollten eine Aufstellung ihrer geschäftskritischen Anwendungen anfertigen und diese in Risikogruppen einteilen. Dies sei deshalb wichtig, da für die Anwendungssicherheit keine unbegrenzten Mittel zur Verfügung stünden. Wenn ein Unternehmen zu Beginn seiner Sicherheitsoffensive beispielsweise 20 Anwendungen schützen möchte, müssten diejenigen Vorrang haben, die am meisten gefährdet sind.
   Das könnten Apps sein, die personenbezogene Informationen oder Kreditkartendaten verarbeiten. Die Bedeutung einer bestimmten Anwendung für den eigenen Geschäftserfolg zu kennen stelle sicher, dass dieser Anwendung die nötige Aufmerksamkeit in puncto Sicherheit, aber auch Performance zu Teil wird. Ein solches Risiko-Ranking von Apps sei ein guter Anfang für ein umfassendes Sicherheitskonzept.
2. Sicherheitsrichtlinien werden nicht effizient eingesetzt
   Sicherheitsrichtlinien würden normalerweise von IT-Sicherheitsexperten definiert und schrieben vor, welche Sicherheitslücken in einer Anwendung nicht vorkommen dürfen. Unternehmen erließen diese Richtlinien jedoch oft überstürzt und planlos – und schafften auf diese Weise eher mehr Chaos als Ordnung. Wenn in einem Sicherheitsprogramm, das 20 Anwendungen umfasst, zehn verschiedene Richtlinien zur Anwendung kämen, stifte das nur Verwirrung.
   Ein weiterer Fehler sei, die Regeln zu eng zu stecken, speziell für neue Apps. Dadurch werde nicht nur die Compliance negativ beeinflusst, es berge auch einiges Frustrationspotenzial für das Entwickler-Team. Außerdem würden teilweise Richtlinien verwendet, die einfach nicht relevant seien. Eine Legacy-Anwendung, die nicht mehr weiterentwickelt wird, brauche zum Beispiel keine vierteljährlichen Scans.
3. Die Führungsebene verfügt nicht über die richtigen Zahlen
   Zahlen und Metriken gebe es in der IT-Sicherheit zuhauf. Doch welche davon sind für einen CIO tatsächlich von Interesse? Welche lassen sich in harte Business-KPIs übersetzen? Dafür biete sich die konkrete Anzahl der Anwendungen an, die ein Sicherheitsprogramm umfasst.
   Außerdem lasse sich der Erfolg des Programms sehr gut beurteilen, wenn man die Compliance-Rate über längere Zeit misst. Danach könne der Sicherheitschef eines Unternehmens sehr gut beurteilen, ob sein Sicherheitsprogramm gut performt, oder ob noch Nachbesserungsbedarf besteht.
4. Entwickler sind nicht in den Planungsprozess involviert
   Wenn die Entwickler nicht wissen, was von ihnen genau erwartet wird, um eine Anwendung sicher zu machen, könne man von ihnen auch keinen Erfolg erwarten. Doch es gehe nicht darum, dem Entwicklungs-Team einfach nur zu sagen, was es tun soll. Stattdessen sollten Entwickler von Anfang an in den Strategiefindungsprozess einbezogen werden.
   Dadurch ergäben sich Synergien und neue kreative Ideen könnten entstehen. Ganz konkret könnten Unternehmen eine interne IT-Sicherheitsseite einrichten, auf der alle Beteiligten Informationen teilen können. Der Schlüssel zum Erfolg eines Sicherheitsprogramms sei effektive und transparente Kommunikation.
5. Unternehmen holen sich keine Hilfe
   Ein erfolgreiches Anwendungssicherheitsprogramm sei eine Partnerschaft zwischen einem Unternehmen und seinem IT-Sicherheitsdienstleister. Jeder Partner bringe in diese Kooperation seine eigenen Kenntnisse ein.
   Die Kompetenzen und Erfahrungen eines externen Partners ermöglichten eine andere, differenzierte Perspektive auf die Sicherheitsproblematik. Mit ihrem Wissen aus früheren Projekten könnten die IT-Sicherheitsexperten von außen die Formulierung und Umsetzung einer Strategie von Anfang an begleiten und so dabei helfen, unnötige Fehler zu vermeiden.