Application Security Management

Risiken in Anwendungssoftware vermeiden

| Autor / Redakteur: Jannis Blume* / Stephan Augsten

Den Überblick behalten

Ein übergreifendes Application Security Management ist zwingend erforderlich, um alle Aktivitäten zur Gewährleistung der Sicherheit aller im Unternehmen genutzten Anwendungen zu orchestrieren. Damit wäre der Go-Live-Termin nicht mehr der Maßstab aller Dinge, sondern die Gewährleistung, dass die Anwendung frei von sicherheitskritischen Schwachstellen ist.

Dabei ist es unerheblich, ob eine Kampagnen-Webseite für ein neues Produkt oder ein Workflow in SAP entwickelt wird, durch den die Freigabe von Bestellungen über einen Wert von 100.000 Euro autorisiert wird. Es zählt nicht unbedingt die Kritikalität der Anwendung selbst, sondern die Bewertung von kritischen Schwachstellen im Anwendungskontext.

Ein Beispiel: Eine Sicherheitslücke in einem SAP-Workflow, der Bestellungen über relativ hohe Beträge koordiniert, mag nicht so kritisch sein, wie z. B. die in einer Funktion einer mobilen Anwendung, die für das Auslesen eines Produktkatalogs ein SAP-System anzapft.

Letztere könnte ein Hacker eventuell leicht ausnützen, um sich einen Zugang zur SAP-Infrastruktur des Unternehmens zu verschaffen. Die fehlende Berechtigungsüberprüfung im SAP-Bestellworkflow hingegen ließe sich nicht so einfach durch Außenstehenden ausnutzen, da internes Wissen und ein Zugang zur Anwendung benötigt wird.

Ein effektives Application Security Management muss daher genau dies bewerkstelligen: Unabhängig von der jeweiligen Anwendungsentwicklungsumgebung kritische Schwachstellen bewerten und im Überblick behalten.

Fokus auf die größten Risiken in Geschäftsanwendungen

Benötigt wird dazu ein Ansatz, der den vollen Umfang des Anwendungsportfolios im Unternehmen umfasst und der mit den modernen Methoden der Highspeed-Entwicklung mithalten kann. Das Wesentliche dabei ist, den Fokus auf die größten Risiken in den Geschäftsanwendungen zu richten. Keine Applikation darf live gehen, wenn sie noch schwerwiegende Sicherheitslücken aufweist.

Werden gravierende Schwachstellen in bestehenden produktiven Anwendungen identifiziert, muss das Application Security Team dafür Sorge tragen, dass die Schwachstellen priorisiert und "schnellstmöglich" von den jeweiligen Entwicklungsteams beseitigt werden. Für diesen Prozess sollten im Application Security Management-Programm einheitliche Regeln verankert sein, die für jedes Entwicklungsteam verbindlich sind und deren Einhaltung vom CISO überwacht wird.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43432903 / Softwareentwicklung)