Application Security

Ursachen für mangelnde Anwendungssicherheit

| Redakteur: Peter Schmitz

Unternehmen fehlt es an der Infrastruktur, um die Anwendungsentwicklung sicher zu gestalten und vielen Entwicklern fehlt es noch immer an entsprechendem Know-how.
Unternehmen fehlt es an der Infrastruktur, um die Anwendungsentwicklung sicher zu gestalten und vielen Entwicklern fehlt es noch immer an entsprechendem Know-how. (Bild: Pixabay / CC0)

Schnell verweisen IT-Security-Fachleute auf träge oder nachlässige Programmierer, wenn Unternehmensanwendungen Sicherheitslücken aufweisen. Das ist aber nur ein Teil der Wahrheit. Um die Anwendungssicherheit sicherzustellen, müssen alle im Unternehmen an einem Strang ziehen.

Web-Anwendungen für die Interaktion von Unternehmen mit ihren Kunden oder Interessenten spielen heute eine zentrale Rolle in vielen Branchen. Häufig laufen über sie personenbezogene Daten für die Vertragsanbahnung und -abwicklung. Vielfach mangelt es dabei an der Anwendungssicherheit. Obligatorische Tests im Entwicklungsprozess solcher Apps unterbleiben, obwohl gerade in Java-Bibliotheken oder sonstigen Code-Schnipseln immer wieder neue Lücken von Cyber-Kriminellen entdeckt werden. Immerhin enthalten 88 Prozent der Java-Anwendungen mindestens eine Komponente, die sie für Cyberangriffe verwundbar macht. Das ergab der State-of-Software-Security-Report 2017 (SoSS-Report) von CA Veracode, der auf Basis von Daten und Software-Scans bei mehr als 1.400 Kunden einmalige Einsichten in den Status der Anwendungssicherheit gewährt.

Erschwerend kommt hinzu, dass weniger als 28 Prozent der Firmen regelmäßige Analysen der in ihren Anwendungen verbauten Open-Source- und Third-Party-Komponenten durchführen. Dabei hängen von Apps und ihrer Sicherheit ganze Geschäftsmodelle ab. Die Frage ist also berechtigt, warum Test-Mechanismen in allen Phasen des Software Development Life Cycles (SDLC) noch nicht zu den Standards zählen. Warum führt Anwendungssicherheit oftmals noch eine Nischenexistenz?

Entwickler brauchen bessere Aus- und Weiterbildung

An den Programmierern liegt es jedenfalls nicht. Rund 62 Prozent schätzen Anwendungssicherheit für ihre Entwicklungsteams als sehr wichtig ein. Das förderte der AppSec and DevOps Trends Report 2017 zutage. Leider ist die Sicherheit von Anwendungen aber nicht das Hauptkriterium, mit dem die Vorgesetzten die Leistung ihrer Entwickler bemessen. Nur 18 Prozent der Chefs gaben in der gleichen Umfrage an, Sicherheit sei die wichtigste Größe für die Leistungsmessung von Entwicklern. Darüber hinaus sind die Aus- und Weiterbildungsangebote in Sachen Sicherheit in der Programmierung weiterhin unzureichend. 86 Prozent der IT-Professionals gaben im SoSS-Report an, ihre Unternehmen investierten zu wenig in die Sicherheit der Anwendungsentwicklung. Und 76 Prozent der befragten Entwickler und IT-Experten sagten, dass sie schon in ihrer Ausbildung keinen Kurs zum Thema Sicherheit in der Anwendungsentwicklung absolvieren mussten.

Im Beruf setzt sich diese mangelhafte Vorbereitung fort. Auch die Arbeitgeber bieten zu wenige Schulungen zur Anwendungssicherheit. So sagen 68 Prozent der Entwickler und IT-Experten, dass ihre Organisationen ihnen keine passenden Schulungen zur Anwendungssicherheit bieten. Der SoSS-Report zeigt aber, dass zusätzliche Bildungsressourcen die Effizienz von Entwicklern bei der Behebung von Schwachstellen positiv beeinflussen. Die Weiterbildung von Entwicklern zu Sicherheitsthemen führt zu einer signifikanten Verbesserung der Fehlerkorrektur. Wenn Arbeitgeber ihren Programmierern die Möglichkeit geben, sich durch eLearning-Angebote über die Anwendungssicherheit zu informieren, erhöhen sie ihre Fehlerkorrekturrate um 19 Prozent.

88-prozentige Steigerung der Fehlerbehebungsraten nach Beratung

Ein weiteres bewährtes Mittel sind Investitionen in externe Beratung. Denn eine große Herausforderung bei Sicherheitstests besteht in der Interpretation der Analyseergebnisse sowie in der rechtzeitigen Behebung eines Fehlers. Hier mangelt es vielen Unternehmen an Expertise. Es zeigt sich aber, dass Unternehmen, die Beratungsdienste in Anspruch nehmen, eine enorme Verbesserung ihrer Softwarequalität verzeichnen können. Nachhaltige Beratung führt zu einer 88-prozentigen Steigerung der Fehlerbehebungsraten in einem Unternehmen.

Nur 37 Prozent der Server verfügen über Grundhygiene

Insgesamt ist es falsch, die Entwickler zu Alleinverantwortlichen zu erklären. Denn ein möglichst hohes Sicherheitsniveau lässt sich nur gewährleisten, wenn alle an einem Strang ziehen – also Entwickler, IT-Betrieb und Fachabteilungen. Der DevOps-Ansatz sieht eine solche Form der Zusammenarbeit vor, weshalb er sich besonders gut eignet, um die Anwendungssicherheit im Unternehmen zu stärken. Konkret bedeutet das, dass sich in den späteren Phasen des SDLCs zahlreiche Fehler identifizieren, ausbügeln oder zumindest an die Entwickler zurückspielen lassen, die beim Verfassen des Codes gemacht wurden. Gleichzeitig müssen sich aber alle Beteiligten auch darüber im Klaren sein, dass der sicherste Code nichts bringt, wenn das Sicherheitsproblem eigentlich in der Produktionsumgebung zu verorten ist.

Erschreckend am SoSS-Report 2017 ist die alarmierende Anzahl von unsicheren Servern, auf denen heute Software läuft. Selbst wenn diese Anwendungen fehlerfrei wären, blieben sie anfällig, weil die Server die Sicherheitslücken mitbringen. Schon wenn man mit normalen Abfragen lediglich an der Oberfläche kratzt und analysiert, welche Daten die Server über sich zurückgeben, wird das deutlich. Manche verraten mehr über sich als notwendig und dies wird von Cyber-Kriminellen ausgenutzt. Eine gut geübte Praxis ist es daher, Serverantworten um alle Informationen zum Server zu bereinigen oder zumindest die Versionsnummer des Serverbetriebssystems vor der Antwort zu entfernen. Lediglich 37 Prozent der Server verfügte über diese Art von Grundhygiene. Der SoSS-Report 2017 zeigt überdies, dass immerhin 18,7 Prozent der untersuchten Webseiten auf Servern liegen, die vor einem Jahrzehnt oder früher eingerichtet wurden. Darüber hinaus liegen 25 Prozent der Webseiten auf Servern, die nach dem Common Vulnerability Scoring System mindestens einen CVSS-Wert von sechs oder höher aufweisen. Und nicht zuletzt reagierten mehr als ein Viertel aller Websites mit einer Art Redirect, was möglicherweise auf die Nutzung von Schatten-IT oder nachlässige IT-Praxis hinwies.

Fazit

Weshalb werden Anwendungen zum Einfallstor für Cyber-Kriminelle? Drei große Probleme lassen sich ausmachen: Erstens mangelt es vielen Unternehmen an der Infrastruktur, um die Anwendungsentwicklung adäquat zu unterstützen. Nur mit den richtigen Tools lassen sich etwa Drittanbieter-Komponenten automatisch auf Sicherheitslücken testen. Zweitens fehlt es vielfach an Know-how, da dieses noch immer nicht im Rahmen der regulären Ausbildung von Entwicklern vermittelt wird. Schulungen und externe Beratung schaffen hier Abhilfe. Drittens muss sich Sicherheit durch den gesamten SDLC ziehen und auch die Produktionsumgebung muss gut geschützt sein. Denn letztlich ist Anwendungssicherheit nicht nur Aufgabe der Entwickler, sondern sie geht alle an.

Über den Autor: Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit CA Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten des Web Application Security Consortium (wie zum Beispiel WAFEC) mitgewirkt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45200110 / Softwareentwicklung)