Anwendungssicherheit neu bewerten
Schnell ist schnell ein Risiko
Fortsetzung des Artikels von Teil 1
Automatisierte Sicherheitstests
Diese Tools bieten kein einheitliches und zentrales System für die Anwendungssicherheit, sondern stellen Insellösungen dar. Vor allem die Fehlalarm-Rate (False Positives) verlangsamt durch zeitaufwendige und ungenaue Verfahren die dann nur angeblich agile Anwendungsentwicklung. Zugleich tritt bei Sicherheitsteams eine sogenannte „Alarmmüdigkeit (Alarm Fatigue) auf: Zu viele falsche Sicherheitsalarme lenken die Aufmerksamkeit von den tatsächlichen Bedrohungen ab und führen zu Frustration der Mitarbeiter. Die fehlende Skalierung der alten Welt korrespondiert also nicht mit der neuen Art der Softwareentwicklung.
Besonders augenfällig ist dieser Missstand, wenn man den Fachkräftemangel in der Branche bedenkt: Je mehr und je schneller Unternehmen Software produzieren, umso mehr Sicherheitsexperten bräuchten sie, um das aktuelle Sicherheitsniveau aufrechtzuerhalten, indem sie Ergebnisse und Scans manuell auswerten. Steigende Personalkosten und immer akuterer Ressourcenmangel sind nicht mit dem Agilitätsanspruch der Unternehmen vereinbar.
Automatisierte Sicherheitstests
Der einzige intelligente Weg, um das Problem zu lösen, liegt in der Automatisierung des Security-Testings. Dadurch können sich die Sicherheitsexperten im Unternehmen wieder auf ihre strategischen Kernthemen wie etwa die Entwicklung von Bedrohungsmodellen konzentrieren. Um der durch relativ einfache Scanner hervorgerufenen Alarmmüdigkeit zu entgehen, braucht man zudem eine möglichst exakte Aussagekraft der Ergebnisse ohne False Positives. Anwendungssicherheit muss sich so horizontal in die neuen agilen Prozesse einbetten, damit sie zur Selbstverständlichkeit wird – und das so früh wie möglich im Software-Lebenszyklus. Durch den oft noch vorherrschenden vertikalen Ansatz in der Anwendungssicherheit adressieren Entwicklerteams das Thema jedoch viel zu spät im Software-Lebenszyklus. Unternehmen sollten sich bewusst machen, dass eine spät entdeckte Sicherheitslücke viel höhere Kosten verursacht als eine frühzeitig, bereits in der Entwicklung entdeckte Schwachstelle.
Wenn Entwickler bereits während der Code-Erstellung mittels Instrumentierung – indem Sicherheits-Tools mit hoher Ergebnisgenauigkeit tagtäglich mitlaufen – Kontext und Informationen zu möglichen Schwachstellen erhalten, können sie diese auch ohne zusätzliche Expertenteams beheben. Neue Tools passen sich so in die Prozesslandschaft ein, dass Mitarbeiter sie im Alltag nicht als Last, sondern als echte Hilfe empfinden. Application Security darf also auf keinen Fall einen zusätzlichen Arbeitsschritt im Prozess bedeuten, sondern muss in diesem und in den vorhandenen Tools „mitlaufen”. Erst wenn Anwendungssicherheit die Experten-Nische verlässt und gelebter Alltag aller Mitarbeiter ist, fühlt sich auch jeder Akteur im Software-Lebenszyklus für das Thema mitverantwortlich und kann sicheren Code gewährleisten.
Ganzheitliche IT-Security-Strategie
IT-Führungskräfte brauchen als erstes einen ganzheitlichen Überblick über alle Applikationen, über aktuelle Schwachstellen und Ereignisse im Betrieb, somit also eine zentrale Komponente mit Reporting-Funktion zur aktuellen Sicherheitslage im Unternehmen. Im zweiten Schritt sind Tools für die Anwendungssicherheit notwendig, mit denen alle Akteure im Software-Lebenszyklus arbeiten – von der Entwicklung bis hin zum Betrieb. Entscheidend für eine gelungene Umsetzung ist es, dass diese Tools durch ihre nahtlose Prozessintegration eine hohe Akzeptanz bei Entwicklern erzielen. Erst dann kann Application Security zu einem selbstverständlichen Teil der täglichen Arbeitsroutinen werden und den Makel des sperrigen Expertenthemas ablegen.
Dies erfordert ein Umdenken auf der Entscheiderebene in Unternehmen: Die neue Art von Softwareentwicklung kann nur dann wirklich agil sein, wenn man auch neue skalierbare Methoden zur Verbesserung der Anwendungssicherheit implementiert. Mittels Instrumentierung sind schnellere und effizientere Entscheidungen der Entwicklerteams und der Sicherheitsspezialisten möglich. Die Investition wird sich für Unternehmen schnell auszahlen – mit einem deutlich reduzierten Fachkräftemangel, zufriedeneren IT-Mitarbeitern und wirklich agiler Softwareentwicklung.
- Schnell ist schnell ein Risiko
- Automatisierte Sicherheitstests
Lesen Sie mehr zum Thema
