Application Security
SANS-Studie: Sicherheitstests bei Anwendungen werden vernachlässigt
Kein fester Platz für Penetrationstests
Die Softwareentwicklung wird zunehmend kleinen und agilen Teams übertragen, die innerhalb kurzer Zeit lauffähige Anwendungen und Updates bereitstellen müssen. Fast die Hälfte (43 Prozent) der Unternehmen veröffentlichen wöchentlich oder täglich neue Anwendungen, Updates oder Features, wie die Studie State of Application Security 2017 des SANS Institutes aufzeigt. Das bringt entsprechende Herausforderungen für die IT-Security mit sich.
In den immer schnelleren Entwicklungszyklen der Anwendungen fehlt ein fester Platz für Sicherheitstests
61 Prozent der Studienteilnehmer gaben an, dass Sicherheitsverstöße öffentlicher Webanwendungen involvieren oder von diesen verursacht werden. Das Problem der Anwendungssicherheit entsteht, weil Sicherheitstests noch kein fester Teil der rasanten Entwicklungs- und Updatezyklen sind – oft fehlt die Zeit für die Tests. Allerdings benötigen gerade gute Sicherheitstests ausreichend Zeit, um verlässliche Ergebnisse zu erzielen.
„Die Geschwindigkeit der Softwareentwicklung nimmt zu und die Technologien, mit denen Unternehmen ihre Geschäfte unterstützen, werden immer vielfältiger”, sagt Jim Bird, SANS Analyst und Verfasser des Studienberichts. „Gemeinsam verändern diese Variablen das Denken und Arbeiten von Entwicklungsteams und ihren Sicherheits- und Risikomanagement-Teams radikal.“
Kontinuierliche Sicherheitstests sind selten
Die Sicherheit der genutzten Anwendungen in den Unternehmen wird zu oft vernachlässigt. Lediglich 12 Prozent der Befragten sagen, dass ihr Unternehmen kontinuierlich Sicherheitstests durchführt. Demgegenüber steht mehr als ein Drittel der Befragten, deren Unternehmen ihre Anwendungen entweder höchstens einmal im Jahr testen (24 Prozent) oder gar keine regelmäßigen Tests durchführen (10 Prozent).
Die größten Hürden sind fehlende Kenntnisse, Methoden und Werkzeuge sowie das fehlende Engagement des Managements
Unternehmen, die ihre Anwendungen regelmäßig auf Schwachstellen untersuchen, nutzen dafür oft automatisierte Code-Prüfungen oder statische Sicherheitstests (54 Prozent), die sich leicht in die schnellen Entwicklungszyklen integrieren lassen. Am beliebtesten sind allerdings interne Penetrationstests, die in 71 Prozent der befragten Unternehmen durchgeführt werden. 58 Prozent ziehen auch externe Anbieter für Penetrationstests hinzu.
Sicherheitstests benötigen mehr Austausch und neue Kenntnisse
Der Zeitmangel und die fehlende Integration von Sicherheitstests ist ein großes Problem für die Anwendungssicherheit. Einer Lösung stehen einige Hürden entgegen. Ein gutes Drittel der Befragten (34 Prozent) gab an, dass es notwendig wäre, eine Brücke zwischen Softwareentwicklung, Security und Compliance zu etablieren.
31 Prozent sehen in der starken Trennung zwischen den Abteilungen eine Herausforderung. Die Befragten sagen, dass sich die Sicherheits- und Entwicklungsabteilung zu wenig austauschen und der Kontakt zu den anderen Abteilungen fehlt. Fast ein Viertel der Teilnehmer (24 Prozent) gab an, die Anwendungssicherheit nicht ausreichend finanziert wird und das Management sich zu wenig engagiert. Der gleiche Anteil unter den Befragten gab an, dass die richtigen Fertigkeiten, Methoden und Werkzeugen für Sicherheitstests fehlen.
Das Management muss den Nachholbedarf erkennen
Wie die SANS-Studie zeigt, gibt es systematische Probleme in der Anwendungssicherheit: Fest eingeplante Tests fehlen in den Entwicklungszyklen. Um diese zu etablieren, müssen allerdings die Entwicklungs-, Sicherheits- und andere Businessabteilung stärker zusammenarbeiten. Bedenklich ist, dass ein Viertel der Befragten sagt, dass Grundlagen wie aktuelle Fertigkeiten, Methoden und Werkzeuge fehlen. Hier muss das Management darauf achten, dass die richtigen Methoden und Werkzeuge bereitgestellt werden und die Fertigkeiten der IT-Sicherheitsmitarbeiter auf dem aktuellen Stand sind.
