Das Problem mit der Anwendungssicherheit

Nach den jüngsten Verstößen gegen die Software-Lieferkette, die große Aufmerksamkeit erregt haben, liegt der Schwerpunkt natürlich auf der Anwendungssicherheit. Wie Cybersicherheitsexperten wissen, ist Besorgnis jedoch nicht immer gleichbedeutend mit Handeln. Eine von Forrester Research veröffentlichte Umfrage unter 480 Entscheidungsträgern im Bereich IT-Sicherheit ergab, dass nur etwas mehr als ein Viertel (28 %) der Befragten Verbesserungen der Anwendungssicherheit in den nächsten 12 Monaten zu einer taktischen Top-Priorität erklärt.

Dieser Mangel an Schwerpunkt ist wohl darauf zurückzuführen, wer für die Anwendungssicherheit verantwortlich ist. Viele Sicherheitsteams neigen dazu, die von ihnen verwalteten Budgets in die Sicherung der Infrastruktur zu investieren. Dabei wird davon ausgegangen, dass die Entwickler die notwendigen Maßnahmen zur Sicherung der Anwendungen ergreifen. Leider ist das oft nicht der Fall. Eine Umfrage unter 634 IT-Experten und Sicherheitspraktikern in Unternehmen, die vom Ponemom Institute im Auftrag von WhiteSource, einem Anbieter von Tools zur Sicherung von Open-Source-Software, durchgeführt wurde, ergab, dass fast drei Viertel der Unternehmen (75 %) angeben, dass ihr Anwendungsportfolio im letzten Jahr für Angriffe anfälliger wurde.

Noch beunruhigender ist eine weitere Umfrage unter fast 200 Sicherheits-, Anwendungs- und DevOps-Fachleuten, durchgeführt von Salt Security, einem Anbieter von Sicherheitstools für Programmierschnittstellen (APIs). Laut dieser Befragung können mehr als die Hälfte der Unternehmen, die APIs in der Produktion einsetzen (54 %), bestenfalls eine grundlegende Strategie für die API-Sicherheit vorweisen, während 27 % überhaupt keine Strategie haben.

Was noch hinzukommt, ist, dass es nicht ungewöhnlich ist, dass Entwickler Code mit bekannten Schwachstellen in Produktionsumgebungen platzieren. Eine Umfrage unter 378 Experten für Cybersicherheit und Anwendungsentwicklung, die von der Enterprise Strategy Group (ESG) im Auftrag von Synopsys, einem Anbieter von Tools zum Scannen von Anwendungscode auf Schwachstellen, durchgeführt wurde, ergab, dass fast die Hälfte (48 %) der Befragten zugeben, dass sie bewusst Code mit bekannten Schwachstellen in die Produktion einbringen, um eine Abgabefrist einzuhalten.

Die Hauptursache, dass diese Situation weiterhin besteht, ist, dass die Prozesse, auf die sich Entwickler verlassen, um Anwendungen zu sichern, größtenteils manuell erfolgen. Drei Viertel der Befragten (75 %) einer Umfrage von Security Compass, einem Anbieter von Tools zur Automatisierung der Cybersicherheit, gaben an, dass manuelle Sicherheits- und Compliance-Prozesse die Codefreigabe auf eine Weise verlangsamen, die letztendlich die Markteinführungszeit und die allgemeine Wettbewerbsfähigkeit verzögert. Wenn es hart auf hart kommt, ist eines der ersten Dinge, die auf den Prüfstand gestellt werden, die Anwendungssicherheit.

Theoretisch sollte der Aufstieg bewährter DevSecOps-Praktiken, die die Verantwortung für die Anwendungssicherheit weiter nach links verlagern, die Schwachstellen verringern oder vollständig beseitigen, die jetzt routinemäßig in Produktionsanwendungen gelangen. Leider ist es für DevSecOps noch früh, sodass die Auswirkungen dieser Verschiebung bestenfalls begrenzt sind, insbesondere wenn man bedenkt, wie hoch das Sicherheitswissen eines durchschnittlichen Entwicklers ist.

Für Cybersecurity-Experten sind Entwickler die Wurzel fast aller Probleme, mit denen sie täglich zu kämpfen haben. Es ist nicht so, dass Entwickler mit böser Absicht anfällige Anwendungen entwickeln und bereitstellen. Sie wissen vielmehr einfach nicht, wonach sie suchen müssen. Bis die Anwendung gescannt wird, normalerweise einige Tage vor der geplanten Bereitstellung, ist es zu spät, um viel mehr zu tun, als sich die Sicherheitslücken zu notieren, die behoben werden müssen. Um diesen Kreislauf zu durchbrechen, müssen Cybersicherheitsteams Entwickler viel früher im Lebenszyklus der Anwendungsentwicklung sinnvoll einbeziehen.

Schließlich ist es unwahrscheinlich, dass Entwickler den ersten Schritt machen – ganz einfach, weil sie nicht genau wissen, was zu tun ist. Wenn sie sich auf die Initiative von Entwicklern verlassen, können Cybersecurity-Experten lange warten. Es ist also die Aufgabe der Cybersecurity-Experten, Entwickler auf eine konstruktive Art und Weise einzubinden, die ihnen die Aussicht auf Weiterbildung vermittelt und nicht, wie so oft, auf Bestrafung.

Unternehmen sind heute stärker denn je auf Software angewiesen. Ungeachtet der Sicherheitsbedenken werden Unternehmen immer mehr Anwendungen entwickeln und bereitstellen, um eine Vielzahl digitaler Geschäftsprozesse zu steuern. Cybersecurity-Teams sind nun in der Pflicht, sich aktiv in die Prozesse zur Erstellung dieser Anwendungen einzubringen, anstatt im Hintergrund auf das Auftreten unvermeidlicher Probleme zu warten. Man könnte in der Tat behaupten, dass Cybersecurity-Experten, die auf die Einbeziehung der Entwickler verzichten, ein ebenso großer Teil des Problems sind wie die Entwickler selbst.