Coverity: Webanwendungen sicher gestalten

17.04.2013

Fünf wichtige Fragen auf dem Weg zur Implementierung einer Security-Policy –

Sicherheitsvorfälle im Netz häufen sich und betreffen Organisationen jeder Größenordnung. Unternehmen müssen daher ihre Sicherheitsstandards erhöhen und so Risiken minimieren. Coverity, Experte für Development Testing, benennt fünf wesentliche Punkte, die bei der Einführung einer Security-Policy für sichere Webanwendungen helfen sollen.

Angriffsmethoden wie SQL-Injection oder Cross-Site-Scripting sind bei Cyber-Gangstern beliebt, um Sicherheitslücken in Webapplikationen auszunutzen. Allein 2012 gaben im Rahmen einer Studie über die Hälfte der befragten Firmen aus dem Bereich der Softwareentwicklung an, Schwachstellen in Webanwendungen entdeckt zu haben. Laut Coverity hilft eine Security-Policy, die auch die Belange der Entwicklerteams berücksichtigt, die Sicherheit der Applikationen zu verbessern. Folgende Fragen müssen sich die Sicherheitsverantwortlichen in diesem Zusammenhang stellen:

Welche Anwendungen bergen das größte Sicherheitsrisiko?
Am Anfang stehen die Bestandsaufnahme und die Risikobeurteilung. Denn mittlerweile sind häufig so viele Anwendungen in Unternehmen im Einsatz, dass eine sinnvolle Priorisierung für das Testen unabdingbar ist. Anderenfalls laufen die Bemühungen ins Leere und Ressourcen werden nur unnötig verschwendet, ohne den gewünschten Erfolg zu erzielen.

Wie lassen sich Entwickler für das Thema Sicherheit sensibilisieren?
Üblicherweise sprechen Sicherheitsverantwortliche und Developer unterschiedliche Sprachen. Beim Thema Security wittert der Entwickler schnell Zeitverzögerung, Mehraufwand und Innovationsverlust. Tests sollten jedoch bereits in der Entwicklungsphase stattfinden und deshalb nahtlos in deren Prozesse integriert werden. Nur so können Behinderungen vermieden werden und Entwickler ein Sicherheitsbewusstsein aufbauen.

Sind die Sicherheitstests aus Entwicklersicht einfach verständlich?
Hier liegt das größte Potenzial zur Verbesserung der Anwendungssicherheit verborgen. Obwohl zahlenmäßig den Entwicklern meist weit unterlegen, wollen Sicherheitsverantwortliche ihre Security-Ansichten hinsichtlich der Applikationen durchsetzen, ohne jedoch die Developer-Kultur zu verstehen. Doch ohne beiderseitigem Verständnis keine Akzeptanz. Diese ist notwendig, damit Tests während der Entwicklung zu einer deutlichen Kostenreduktion beitragen können.

Ist das Thema Sicherheit fest im Entwicklungsprozess integriert?
Hilfreich hierfür sind Programme zur Anerkennung sicherheitsrelevanter Innovationen sowie der Aufbau von Kooperationen zwischen Entwicklergruppen. Das können etwa Rankings der Teams mit den meisten Fixes sein, um die erfolgreichsten mit einem Preis auszuzeichnen. Diese Elemente der Gamification verbessern nicht nur die Motivation allgemein, sondern tragen auch dazu bei, dass das Thema Sicherheit stets präsent ist.

Basiert die Security-Policy auf klar formulierten Standards?
Existiert eine Policy zur Verbesserung der Anwendungssicherheit, muss diese klar und verständlich kommuniziert werden. Entscheidend ist, dass sie auch von oberster Stelle getragen und unterstützt wird. Zudem sollten alle Beteiligten vorab gemeinsam Standards bestimmen, die im „Managementsystem für Informationssicherheit“ (ISMS) festgehalten und stets kontrolliert und verbessert werden können.

Geringe Budgets und die kurze Time-to-Market erschweren die Erstellung sicherer Software. „Ohne eine enge Zusammenarbeit zwischen Entwicklern und Sicherheitsbeauftragten wird es zunehmend schwierig, Sicherheitslücken zu reduzieren“, bemerkt Helmut Philipp, Regional Director of Central & Eastern Europe von Coverity. Sein Fazit: „Um Hackern das Handwerk zu erschweren, müssen Unternehmen das Thema Application Security schon viel früher in der Entwicklung adressieren. So können sie Schwachstellen eher aufspüren und effizienter beheben.“

Über Coverity
Coverity (www.coverity.com/de/) ist ein führender Anbieter von Testumgebungen für die Softwareentwicklung und setzt damit einen Standard für Unternehmen, die ihre Marken und Gewinne vor Softwarefehlern schützen wollen. Über 1100 Kunden bauen auf Coveritys Suite zum Testen während der Entwicklung, um Sourcecode damit automatisch auf Defekte zu überprüfen, die zu Abstürzen, unerwartetem Verhalten, Sicherheitslücken oder Totalausfällen führen können. Coverity ist ein Unternehmen im Privatbesitz mit Hauptsitz in San Francisco (CA, USA). Coverity wird finanziert von Foundation Capital und Benchmark Capital. Weitere Informationen per Twitter und im Coverity-Blog.