zurück zur Übersicht

Sicherere Anwendungen im Jahr 2015?

Veracode-Bericht: Anwendungssicherheit im Industrie- und Finanzsektor verbessert sich, der öffentliche Sektor schwächelt. Es ist kein Geheimnis, dass mehr als 70% aller erfolgreichen Attacken über Schwachstellen in Anwendungen erfolgen. In den letzten Jahren ist das Sicherheitsbewusstsein gestiegen. Organisationen wissen, dass sie eigene und externe Anwendungen schon vor der Einführungsphase absichern sollten. Aber: Es ist eine Sache, einen Security Scan durchzuführen – die gefundenen Probleme zu beheben ist eine ganz andere Herausforderung. Veracode, der führende Hersteller im Bereich Anwendungssicherheit, hat seinen jährlichen Bericht veröffentlicht, aus dem sich einige interessante Fakten ergeben.

  1. Industrie und Finanzsektor sind mit 81% bzw. 65% noch halbwegs gut in der Behebung von Softwareschwachstellen. Am schlechtesten ist der öffentliche Sektor mit nur 27%. Die Begründung sollte klar sein: Diese staatlichen oder überstaatlichen Organisationen unterliegen meist keinen externen Compliance-Anforderungen – der Druck kommt in der Regel nur von innen. Ein Faktor ist auch, dass das Umfeld etwas konservativer ist und der Public Sektor einige ältere Anwendungen nutzt, deren Design und Entwicklungsmethoden nicht mehr gängiger Praxis entsprechen. Auch aktuelle Umgebungen helfen da wenig.
  2. 75% aller externen Webanwendungen (lokal oder in der Cloud) können den ersten OWASP TOP 10 Test nicht bestehen. OWASP TOP 10 ist eine Testvorgehensweise, um auf die kritischsten potenziellen Schwachstellen zu prüfen. Bis jetzt fordern nur wenige Firmen von den Software-Herstellern einen Nachweis, dass ihre Programme ein Sicherheitsaudit bestanden haben.
  3. Den Entwicklern reicht es nicht, nur die Fehler zu sehen und Methoden zur Behebung zu kennen. Sie brauchen die Möglichkeit, hinter die Kulissen einer Anwendung zu blicken und die zu Grunde liegenden Konzepte zu verstehen. Dazu ist externe Beratung oft sehr nützlich.
  4. Die häufigsten Sicherheitslücken sind, in dieser Reihenfolge:
  • Codequalität im Bezug auf Sicherheit
  • Umgang mit sensitiven Daten
  • Datenschutz
  • CRLF Injections
  • XSS (Cross Site Scripting)
  • Directory Traversal
  • Eingabevalidierung
  • SQL Injections
  • Management von Anmeldedaten
  • Sitzungsprobleme

Die Sicherheit einer Anwendung sollte schon beim Design priorisiert und regelmäßig getestet werden, um den späteren Aufwand zu minimieren. iT-CUBE zusammen mit verschiedenen Sicherheitspartnern bietet einen bewährten Ansatz, um den gesamten Software-Development-Lebenszyklus (SDLC) vom Sicherheitsaspekt her zu optimieren. Dabei geht es nicht nur darum, ein Testing Tool einzusetzen – Nachhaltigkeit ist gefragt. Die Prozessabläufe müssen umfassend analysiert und die gefundenen Probleme mit Rücksicht auf Zeit und Prioritäten optimal und zukunftssicher gelöst werden.  Quelle: https://info.veracode.com/state-of-software-security-report-volume6.html

Schreibe einen Kommentar