Anwendungssicherheit wird endlich fällig
Eines der schmutzigen Geheimnisse der IT ist, wie viele ungepatchte Schwachstellen es wirklich in Software gibt, die in Produktionsumgebungen ausgeführt wird. Entwickler sind berüchtigt dafür, aus verschiedenen Repositories ältere Versionen von Softwarekomponenten herunterzuladen, die bekannte Schwachstellen aufweisen. Selbst wenn sie auf diese Schwachstellen aufmerksam gemacht werden, ist es nicht ungewöhnlich, dass der Anwendungscode trotz dieser Probleme ausgeliefert wird, weil es schnell gehen muss.
Cybersecurity-Experten verbringen natürlich viel Zeit damit, nach diesen Schwachstellen zu suchen, sind aber im Allgemeinen machtlos, wenn es um deren Behebung geht. Lange Listen von erkannten Schwachstellen werden an Entwickler weitergegeben, die oft zu sehr damit beschäftigt sind, mehr unsichereren Code zu schreiben, wodurch ihnen die Zeit fehlt, Patches für bereits ausgeführte Software bereitzustellen. Das Ergebnis sind massive technische Sicherheitslücken, die von Cyberkriminellen leicht ausgenutzt werden können.
Selbst nachdem ein Modul in einer Produktionsumgebung repariert wurde, ist es nicht ungewöhnlich, dass es wieder in einer anderen Anwendung auftaucht, weil ein anderer Entwickler dieselbe fehlerhafte Komponente aus einem Repository heruntergeladen hat. Cybersecurity-Experten sind verständlicherweise sehr frustriert über die Art und Weise, wie Software entwickelt und bereitgestellt wird.
Glücklicherweise wird nach einer Reihe von schwerwiegenden Sicherheitsverstößen jetzt viel mehr Wert auf die Sicherung von Software-Lieferketten gelegt. Eine von der Biden-Regierung erlassene Verfügung, nach der Bundesbehörden ihre Software-Lieferketten überprüfen müssen, hat den Stein ins Rollen gebracht. Inzwischen gibt es einen Gesetzesentwurf, der so weit geht, dass die Verteidigungsbehörden Software mit bekannten Sicherheitslücken überhaupt nicht mehr einsetzen dürfen.
Es überrascht nicht, dass auch die IT-Organisationen von Unternehmen dieses Problem zur Kenntnis nehmen. Eine von Wakefield Research im Auftrag von Invicti, einem Anbieter von DAST-Tools (Dynamic Application Security Testing), durchgeführte Umfrage unter 500 DevSecOps-Fachleuten ergab, dass fast drei Viertel der Unternehmen (73 %) davon ausgehen, dass sie ihre Investitionen in die Anwendungssicherheit bis 2023 erhöhen werden.
Die Frage ist natürlich, wie die Budgets verteilt werden. Das Problem mit der Anwendungssicherheit ist, dass Cybersecurity-Teams sie im Allgemeinen als etwas betrachten, für dessen Wartung Anwendungsentwickler verantwortlich sein sollten. Entwickler gingen leider immer davon aus, dass sich die Cybersecurity-Teams in ihrem Namen um dieses Problem kümmerten. Es besteht nun allgemeiner Konsens darüber, dass Entwicklungsteams im Rahmen einer „Linksverschiebung“, die die Einführung bewährter DevSecOps-Praktiken fördert, Verantwortung übernehmen werden. Ziel dieser Bemühungen ist es, Tools in alles einzubetten, von integrierten Entwicklungsumgebungen bis hin zu CI/CD-Plattformen (Continuous Integration/Continuous Delivery), die verhindern, dass Schwachstellen von vornherein in Anwendungen eingeführt werden.
Solange Menschen Code schreiben, werden immer wieder Fehler gemacht. Daher wird es immer notwendig sein, Plattformen einzusetzen, die sowohl die Anwendungen als auch die Programmierschnittstellen (APIs), die für den Zugriff auf diese Anwendungen verwendet werden, schützen. Die Anzahl der in Anwendungen gefundenen Schwachstellen, die in Produktionsumgebungen laufen, dürfte in den kommenden Jahren jedoch stetig abnehmen. Das Problem besteht nun darin, festzustellen, inwieweit bestehende Anwendungen entweder schneller gepatcht werden müssen, um sie sicherer zu machen, oder ob sie durch modernere Iterationen von Anwendungen ersetzt werden müssen, deren Sicherung hoffentlich nicht so viel laufenden Aufwand erfordert.
