zurück zur Übersicht

Sicherere Anwendungen im Jahr 2015?

Veracode-Bericht: Anwendungssicherheit im Industrie- und Finanzsektor verbessert sich, der öffentliche Sektor schwächelt. Es ist kein Geheimnis, dass mehr als 70% aller erfolgreichen Attacken über Schwachstellen in Anwendungen erfolgen. In den letzten Jahren ist das Sicherheitsbewusstsein gestiegen. Organisationen wissen, dass sie eigene und externe Anwendungen schon vor der Einführungsphase absichern sollten. Aber: Es ist eine Sache, einen Security Scan durchzuführen – die gefundenen Probleme zu beheben ist eine ganz andere Herausforderung. Veracode, der führende Hersteller im Bereich Anwendungssicherheit, hat seinen jährlichen Bericht veröffentlicht, aus dem sich einige interessante Fakten ergeben.

  1. Industrie und Finanzsektor sind mit 81% bzw. 65% noch halbwegs gut in der Behebung von Softwareschwachstellen. Am schlechtesten ist der öffentliche Sektor mit nur 27%. Die Begründung sollte klar sein: Diese staatlichen oder überstaatlichen Organisationen unterliegen meist keinen externen Compliance-Anforderungen – der Druck kommt in der Regel nur von innen. Ein Faktor ist auch, dass das Umfeld etwas konservativer ist und der Public Sektor einige ältere Anwendungen nutzt, deren Design und Entwicklungsmethoden nicht mehr gängiger Praxis entsprechen. Auch aktuelle Umgebungen helfen da wenig.
  2. 75% aller externen Webanwendungen (lokal oder in der Cloud) können den ersten OWASP TOP 10 Test nicht bestehen. OWASP TOP 10 ist eine Testvorgehensweise, um auf die kritischsten potenziellen Schwachstellen zu prüfen. Bis jetzt fordern nur wenige Firmen von den Software-Herstellern einen Nachweis, dass ihre Programme ein Sicherheitsaudit bestanden haben.
  3. Den Entwicklern reicht es nicht, nur die Fehler zu sehen und Methoden zur Behebung zu kennen. Sie brauchen die Möglichkeit, hinter die Kulissen einer Anwendung zu blicken und die zu Grunde liegenden Konzepte zu verstehen. Dazu ist externe Beratung oft sehr nützlich.
  4. Die häufigsten Sicherheitslücken sind, in dieser Reihenfolge:
  • Codequalität im Bezug auf Sicherheit
  • Umgang mit sensitiven Daten
  • Datenschutz
  • CRLF Injections
  • XSS (Cross Site Scripting)
  • Directory Traversal
  • Eingabevalidierung
  • SQL Injections
  • Management von Anmeldedaten
  • Sitzungsprobleme

Die Sicherheit einer Anwendung sollte schon beim Design priorisiert und regelmäßig getestet werden, um den späteren Aufwand zu minimieren. iT-CUBE zusammen mit verschiedenen Sicherheitspartnern bietet einen bewährten Ansatz, um den gesamten Software-Development-Lebenszyklus (SDLC) vom Sicherheitsaspekt her zu optimieren. Dabei geht es nicht nur darum, ein Testing Tool einzusetzen – Nachhaltigkeit ist gefragt. Die Prozessabläufe müssen umfassend analysiert und die gefundenen Probleme mit Rücksicht auf Zeit und Prioritäten optimal und zukunftssicher gelöst werden.  Quelle: https://info.veracode.com/state-of-software-security-report-volume6.html

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer