Anwendungssicherheit Blind Spots in Anwendungen beseitigen

Anbieter zum Thema

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Veracode Limited

Kleine Unachtsamkeiten können schwerwiegende Folgen haben. Sogenannte Blind Spots in den Applikationen eines Unternehmens können Cyberkriminellen Tür und Tor öffnen. Dabei ist es recht einfach, solche Blind Spots zu entdecken und beheben. Doch warum tun Unternehmen sich so schwer damit und wie können sie solche Sicherheitslücken in ihren Anwendungen von vornherein verhindern?

Im Sommer 2014 sorgte JPMorgan Chase für Schlagzeilen: Bei einer Cyberattacke auf die US-amerikanische Bank wurden Daten von mehr als 83 Millionen Konten gestohlen. Zugang zu der Datenbank der Großbank verschafften sich die Angreifer über eine bereits obsolete, aber weiterhin aktive Landing Page für die bekannte J.P. Morgan Corporate Challenge. Erst nach Entdecken des Hacks wurde die Seite offline geschaltet. Auch nach fast zehn Jahre ist dieser Vorfall noch immer relevant, denn er zeigt ein eklatantes Risiko für Unternehmen auf: Blind Spots in ihren Anwendungen.

Was man nicht kennt, kann man nicht schützen

Je größer ein Unternehmen, desto mehr Applikationen aller Art sind im Einsatz und ständig kommen neue hinzu. Daraus ergibt sich die Herausforderung, den Überblick über all diese zu behalten und sie abzusichern. In der Realität fehlt den IT-Verantwortlichen in Unternehmen dieser Überblick jedoch sehr häufig. Sie wissen daher nicht immer genau, welche Applikationen existieren und wo sie laufen, wie diese mit anderen zusammenarbeiten und über welche APIs sie miteinander kommunizieren oder auch welche von diesen extern aufgerufen werden können.

Für die wichtigsten Anwendungen eines Unternehmens sind diese Informationen selbstverständlich bekannt und sie werden mit umfangreichen Sicherheitsmaßnahmen geschützt. Das ist richtig und wichtig, doch, wie das JPMorgan-Chase-Beispiel zeigt: Cyberkriminelle wissen das natürlich und suchen sich andere Angriffsziele. Die am wenigsten wichtige Seite für ein Unternehmen ist in der Regel auch die, die am wenigsten geschützt ist. Aber im schlimmsten Fall bietet sie Angreifern Zugang zu weiteren, wesentlich wichtigeren Systemen.

Solche Blind Spots finden sich häufig in Webapplikationen, beispielsweise in Form von Marketingwebpages, die anlassbezogen erstellt und aktiviert werden. Danach sollte die Seite wieder vom Netz genommen werden. Doch die Marketingmitarbeiter sind vielleicht schon mit anderen Aktivitäten beschäftigt, während dem IT-Team nicht bewusst ist, dass die Seite nicht mehr benötigt wird. Auch bei Mergern oder Akquisitionen können solche Webseiten schnell übersehen werden.

Vorbereitung zahlt sich aus

Um potenzielle Angriffsflächen zu verkleinern und dadurch die Sicherheit zu erhöhen, sollten Unternehmen ihre Systeme mithilfe entsprechender Tools scannen. Diese identifizieren beispielsweise alle Webapplikationen, nicht nur die innerhalb des bekannten öffentlichen IP-Bereichs, und können im gesamten Web nach Domänen und Keywords suchen. Das Ergebnis ist eine lange Liste mit allen bekannten und bislang unbekannten Webanwendungen. Mit dieser können Sicherheitsteams zum einen nicht länger benötigte Applikationen abschalten und dadurch auch Betriebskosten sparen, zum anderen können sie die gefundenen Applikationen auf Schwachstellen prüfen und, wenn erforderlich, neue Sicherheitsmaßnahmen umsetzen.

Das Problem bei dieser nachträglichen Überprüfung ist jedoch, dass es am Markt aktuell nur Teillösungen, wie etwa für Webapplikationen, und keine Komplettlösung gibt, die alle Systeme durchsucht und gefundene Anwendungen in einem großen Repository sammelt. Deshalb sollten Unternehmen künftig für all ihre Applikationen einen Onboarding- und ggf. Offboarding-Prozess durchführen.

Die Onboarding-Phase für wichtige Applikationen beginnt idealerweise schon weit vor der eigentlichen Entwicklung und vereint alle wichtigen Stakeholder, um zum Beispiel Fragen der technischen und organisatorischen Machbarkeit zu klären. Im weiteren Verlauf spielen auch Test- und Qualitätsmanagement eine Rolle. Vor allem aber werden auch Timeline und Zuständigkeiten festgelegt sowie das Zusammenspiel der Applikation mit anderen festgehalten. Dadurch entsteht eine Übersicht, wie und wo die Applikation künftig im System läuft. In einem reduzierten Onboarding-Prozess können diese Informationen auch für kleinere oder weniger bedeutende Anwendungen, wie Landing Pages, einfach und schnell erfasst werden. Ein geregelter Offboarding-Prozess trägt außerdem dazu bei, dass Anwendungen rechtzeitig und leichter deaktiviert werden können, weil alle notwendigen Schritte im Vorfeld definiert wurden. Durch diese Vorbereitung lassen sich unerwartete Hindernisse und Störungen vermeiden.

Konsequenzen für Security-Verantwortliche

In Unternehmen kommen immer mehr Anwendungen zum Einsatz, sowohl intern als auch extern. Dadurch vergrößert sich aber auch die potenzielle Angriffsfläche für Cyberkriminelle. Dabei konzentrieren sie sich oft auf unbedeutende Applikationen, die schlecht geschützt sind, und nutzen sie als Einfallstor ins Unternehmenssystem. Für Security-Verantwortliche ergeben sich daraus drei Konsequenzen:

• Sie müssen sich überhaupt erst bewusstwerden, dass in ihrem Unternehmen mit hoher Wahrscheinlichkeit eine Reihe von schlecht oder gar nicht geschützten Applikationen existieren.

• Dann brauchen sie eine Übersicht aller im Unternehmen vorhandenen Applikationen. Nur so können sie die Sicherheitsmaßnahmen an der richtigen Stelle verstärken oder Anwendungen abschalten.

• Des Weiteren sollten sie in Zukunft für alle Anwendungen, unabhängig wie groß oder klein diese sind, ein Onboarding und bei Bedarf auch ein Offboarding durchführen.

Unternehmen riskieren große Schäden durch Blind Spots. Jetzt ist die Zeit, dass sie Licht in diese Ecke ihrer IT-Systeme scheinen und sie Schritte unternehmen, um Cybersecurity-Bedrohungen zu minimieren.

Über den Autor: Julian Totzek-Hallhuber ist Manager Solution Architects bei Veracode.

(ID:48959567)