Anwendungssicherheit ist in einer Zeit, in der die Menschen vermehrt im Homeoffice arbeiten, noch dringlicher geworden. Und natürlich versuchen auch Cyber-Kriminelle, aus der aktuellen Situation Kapital zu schlagen. Was müssen Application Security Teams alles beachten?
Schulungen, bessere Kommunikation, Technik: Anwendungssicherheit lässt sich auf mehreren Wegen erhöhen, die Strategie zählt.
Unternehmen stehen vor anhaltenden Herausforderungen. Sei es, weil sie Hände ringend nach geeignetem Personal suchen, oder sei es, weil sie in Zeiten der Krise Wege finden müssen, trotz der wirtschaftlichen Auswirkungen produktiv zu bleiben. Zusätzlich sehen wir in Zeiten der Pandemie einen überproportionalen Anstieg von Cyber-Angriffen durch opportunistische Hacker und Cyber-Kriminelle.
Teams, die für die Anwendungssicherheit verantwortlich sind, geraten dadurch weiter unter Zugzwang und stehen vor der schwierigen Aufgabe, die von ihnen entwickelte und betriebene Software vor dieser neuerlichen Flut von Angriffen zu schützen. Der Aufwand dafür wird vom Management meistens unterschätzt. Entsprechend knapp verteilt sind die Ressourcen.
Es existieren aber einige taugliche Strategien, die aus dem Dilemma herausführen. Als erstes gilt es, den Kapazitätsengpass für Sicherheitstests anzugehen, die Fähigkeiten der Mitarbeiter auszubauen und den Software-Entwicklungsprozess auf den neuesten Stand zu bringen, um Risiken zu senken. Diese Ansätze helfen Application-Security-, kurz AppSec-Teams dabei, besser mit dem Ressourcenmangel umzugehen und entsprechende Programme effizienter zu gestalten. Ohne eine passende Strategie ist es unmöglich, unter erschwerten Bedingungen die gesetzten Ziele zu erreichen.
Personalmangel trifft auch Security-Abteilungen
Ein Weg besteht darin, bestehende Security-Teams durch On-Demand-Ressourcen zu unterstützen. Qualifizierte Fachkräfte im Bereich AppSec sind selbst in den besten Zeiten Mangelware. Krisenbezogen wurden Firmen zeitweise geschlossen oder die Produktion heruntergefahren, große Teile der Belegschaft arbeiten noch immer von zu Hause und Reisebeschränkungen gelten weiter.
Dadurch ist es schwieriger geworden, Projekte zeitgerecht umzusetzen, Stellen mit geeigneten Mitarbeitern und Mitarbeiterinnen zu besetzen und den Geschäftsbetrieb aufrechtzuerhalten. In einigen Branchen und Unternehmen hat sich die Situation teilweise drastisch verschärft. Oft waren bestehende Teams schon vor der Krise unterbesetzt. Mit zusätzlichen Sicherheitsaufgaben sind sie jetzt komplett überfordert.
Sicherheitsteams sind also gezwungen, ihre Projekte stärker als bisher zu priorisieren, wenn sie mit einer dünnen Personaldecke Projekte weiterhin fristgerecht umsetzen wollen. Managed Solutions unterstützen Firmen beim Testen der Anwendungssicherheit durch Remote-Teams. Die setzen sich aus Experten für das Thema Anwendungssicherheit und flexibel abrufbaren Kapazitäten zusammen.
Das zusätzliche Fachwissen und die Dienstleistungen nimmt man nur genau dann in Anspruch, wenn man sie tatsächlich braucht. Ausgelagerte Sicherheitstests erlauben es, flexibel und agil zu wirtschaften. Sie passen sich dadurch den aktuellen Bedürfnissen bei AppSec-Tests an und holen gleichzeitig das Maximum aus den vorhandenen Kapazitäten heraus. Bei der Auswahl der richtigen Toolsets sollten Firmen sich von ihren spezifischen Zielvorgaben und Anforderungen leiten lassen.
Security-Know-how aufstocken und aufleveln
Es liegt nahe, vorhandenes Personal aufzustocken, genauso wie es sinnvoll ist in Fachkräfte, insbesondere Entwickler, zu investieren. Entwicklungsteams bilden quasi die erste Verteidigungslinie gegen Cyber-Angriffe auf die eigene Software. Es ist zwar nötig, aber leichter gesagt als getan, den nennen wir es „Sicherheits-IQ“ nach oben zu schrauben.
Die meisten Entwickler haben kaum eine oder keine formale Ausbildung hinsichtlich sicherer Software-Entwicklung. Vielerorts stecken solche Studien- oder Ausbildungsgänge noch in den Kinderschuhen. Laut einer von Forrester durchgeführten Studie gilt das selbst für die USA. Keines der Top 40 College-Informatikprogramme enthält auch nur ein einziges Kursangebot zum Thema sichere Kodierung oder sicheres Anwendungsdesign.
Nicht unbedingt einleuchtend, wenn man bedenkt, dass die Last von Sicherheitsschulungen weitgehend auf den Schultern von Sicherheits- und Entwicklungsteams ruht. Schulungen abzuhalten ist unter Covid-19-Bedingungen allerdings nicht einfacher geworden. Wie soll man Mitarbeiter ausbilden, wenn man sie nicht oder nur unter einer Vielzahl von Auflagen zusammenbringen kann?
Herkömmliche Schulungen vor Ort führen Ausbilder (ILT, Instructor-led Training) meist im Auftrag der Firmen durch. Man sollte allerdings eigene virtuelle Schulungen und Trainings in Betracht ziehen. Der Markt hält eLearning-Lösungen bereit, zu denen auch interaktive Online-Sicherheitsschulungen gehören.
Hier haben Teilnehmer die Möglichkeit, nach Bedarf und in ihrem eigenen Tempo unter einer breiten Palette von Kursen zum Thema Anwendungssicherheit auszuwählen. Virtuelles ILT vermittelt trotzdem ein gemeinschaftliches Lernen in der Gruppe, bringt Mitarbeiter für Spezialschulungen zusammen, und die Online-Kurse werden von zertifizierten Fachleuten mit praktischer Erfahrung entwickelt und unterrichtet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein anderer Ausbildungsansatz nutzt das Konzept des kontinuierlichen inkrementellen Lernens, das auf Entwickler-Tools und Workflows abgestimmt ist. Solche Lösungen enthalten zusätzlich Mikro-Kurse, die dann zustande kommen, wenn innerhalb der IDE-Umgebung ein Fehler auftritt. Diese Kurse statten Entwickler mit einem breiten Sicherheitswissen und der notwendigen Expertise aus. Sie bekommen Hilfestellung dazu, wie sie Mängel am besten beheben können und wie sie verhindern, dass Fehler sich in Zukunft wiederholen.
Es gibt Lösungen, die bereits Beispiele für spezifischen Code in einer bestimmten Programmiersprache enthalten, die Entwickler in einem kurzen Zeitraum von nur einer bis fünf Minuten lesen und anwenden können. Dazu müssen die Mitarbeiter keine Sicherheitsexperten sein. Dank dieser schnellen „Lern-/Anwendungsschleife“ halten sich die Unterbrechungen zeitlich in Grenzen, und Teams haben die Möglichkeit, sich kontinuierlich zu verbessern.
Die Werkzeuge unterstützen den Entwickler direkt bei seiner Implementierungsarbeit und in dem Kontext, in dem er üblicherweise arbeitet. Das stärkt zusätzlich die Bindung an das Unternehmen und erhöht im besten Falle auch den Spaßfaktor bei der Arbeit.
Technische Hürden ebenfalls erhöhen
Testkapazitäten auszuweiten und die Kompetenzen eines Teams zu erhöhen, hilft Personalprobleme zu bewältigen. Aber wie steht es um die Anfälligkeit der Anwendungen selbst? Was kann man tun, um sich auf einen möglichen Cyber-Angriff vorzubereiten? Abwehrmechanismen am Perimeter (z.B. WAFs) sind nach wie vor Teil der Lösung. Für viele Unternehmen, die Online-Dienste bereitstellen, ist jedoch das Web selbst und sind die von diesen Firmen entwickelten mobilen Anwendungen der Perimeter.
Interessanterweise basieren die meisten Anwendungen auf Open Source-Komponenten. Die über 1.250 der im jüngsten 2020 Open Source Security & Risk Analysis (OSSRA) Bericht analysierten Code-Bases enthalten zu annähernd 100 Prozent Open Source-Komponenten. Im Durchschnitt sind sieben Zehntel des verwendeten Codes Open Source.
Diese Zahl hat sich gegenüber den Zahlen des ersten OSSRA-Berichts, als der Anteil noch bei 36 Prozent lag, nahezu verdoppelt. Ein weiteres Indiz für den dramatischen Anstieg bei der Verwendung Open Source: Der aktuelle OSSRA-Bericht verzeichnet durchschnittlich 445 Open Source-Komponenten pro Codebasis, verglichen mit lediglich 298 noch im Jahr zuvor.
Wenn Sie allerdings nicht wissen, welche Open Source-Komponenten Ihr Code enthält, ist es kaum möglich sensible Daten und Systeme zu schützen. Die sorgfältigste Methode, um diese Lücke zu schließen ist, die Softwarekomponenten kontinuierlich zu analysieren. Dazu dient ein integriertes und automatisiertes Open Source-Risikomanagement über den gesamten Lebenszyklus der Softwareentwicklung (SDLC) hinweg.
Über das neue „Normal“ nach der Rückkehr in Firmen und Büros können wir im Moment nur spekulieren. Wir alle sind mindestens mit dem Unsicherheits-Virus infiziert. Aber die Situation birgt auch Chancen. AppSec-Teams lernen aus der aktuellen Arbeitssituation, konzentrieren ihre Anstrengungen und halten die Anwendungssicherheit unter den derzeitigen, nicht gerade idealen Bedingungen, aufrecht. Damit verbessert sich mit Blick auf die Zukunft fast zwangsläufig die Fähigkeit, sichere, qualitativ hochwertige Software zu erstellen.
* Florian Thurmann ist Technical Director Customer Service & Solution, EMEA, bei der Synopsys Software Integrity Group.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/48/a2/48a249f144445ea4b60d3e7a0032234f/0129122718v1.jpeg "Angreifer probierten wiederholt Schadsoftware auf einem Domain Controller zu platzieren, bis das EDR-System das Muster schließlich als harmlos einstufte. Fünf Stunden später begann die Verschlüsselung. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109e520d85957b9dd127a5725c28af41/0129123492v2.jpeg "Seit Mitte Januar 2026 konnte eine neue Welle automatisierter Angriffe auf Fortinet FortiGate-Geräte beobachtet werden. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/f0/e9f01c33573649afdf8f5141269171f2/0128948431v1.jpeg "Chinesische Unternehmen wie Huawei und ZTE stehen vor dem Ausschluss aus kritischen Infrastrukturen der Europäischen Union. Chinesische Technologie soll künftig per EU-Regulierung aus Telekommunikationsnetzen und Solarenergiesystemen verbannt werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/33/37/3337aa61f824fff11f601469a8096c61/0124274911v1.jpeg "In bedrohlichen Zeiten bieten ASPM-Ansätze Schutz über den gesamten Software Development Lifecycle. (Bild: Sora / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/d9/41d92513855f8edc365b723bc094a6bb/0123813981v2.jpeg "ASPM-Lösungen erleichtern die Zusammenarbeit im DevSecOps-Team und helfen die Aufgabenbereiche nahtlos miteinander zu verbinden. (Bild: stone36 - stock.adobe.com)")