Offene Flanken auch in fertigen Programmen erkennen
In der Summe finden die Testverfahren in aller Regel eine Vielzahl von Fehlern. Laut von Stackelberg lassen sich Durchschnittswerte hier nicht benennen, in der Spitze seien eine Million Fehler bei 1,5 Millionen Zeilen Code allerdings durchaus möglich. Auch in kleineren Dimensionen heißt das: Es sind auf jeden Fall zu viele, um sie alle auf einen Schlag zu beheben.
Das bedeutet: Bei der Applikationssicherheit müssen Prioritäten gesetzt werden. Dem HP-Experten zufolge ist dafür ein strategischer Ansatz für das Risiko-Management erforderlich. Demnach gilt es für Unternehmen zunächst zu überlegen, welche Daten in den Anwendungen tatsächlich schützenswert sind und welche nicht. Danach wird das Risiko bewertet, dass diese Daten Ziel von Angriffen werden können. Anschließend werden nach den Reviews und Penetration Tests vorrangig diese Probleme in Angriff genommen, bevor man sich - wenn überhaupt - auch an Aufgaben mit niedriger Priorität macht.
Mit einer guten Risiko-Management-Strategie verbunden ist ein vernünftiges Change Management: "Im Grund genommen ist das Managen der notwendigen Veränderungen unsere Hauptaufgabe, wenn wir in die Unternehmen gehen", betont von Stackelberg. Die Produkte für die Applikationssicherheit würden dort sofort akzeptiert, weil sie weitgehend selbsterklärend seien. "Aber wir müssen dafür sorgen, dass sich die Entwickler und die Verantwortlichen in den Unternehmen dieses Themas überhaupt annehmen und sich bewusst werden, wie wichtig Applikationssicherheit ist - und welche Auswirkungen sie auf die bisherigen Abläufe bei der Anwendungsentwicklung hat."
Nach Angaben des HP-Experten gilt es zum einen, Regeln für möglichst fehlerfreie Programmierung aufzustellen, zum anderen muss gewährleistet sein, dass die regelmäßigen Tests und die Fixes der gefundenen Fehler die Release-Zyklen nicht durcheinanderbringen. In konkreten Projekten, so von Strackelberg, sei man zudem sehr damit beschäftigt, neue Rollen zu definieren: etwa Security Leads, die sich grundsätzlich um die Anwendungssicherheit kümmern, oder Auditoren, die sich mit der Code-Kontrolle beschäftigen, beziehungsweise Koordinatoren, die für die Priorisierungen verantwortlich sind. All das münde in ein ganzheitliches Maturity-Modell für Applikationssicherheit, der Software Security Assurance (SSA) von Fortify. "Hier lernen die Unternehmen, sich selbst einzuordnen und zu ermitteln, was genau die Mitarbeiter tun müssen, um die Anwendungen sicher zu gestalten."
Einen 100-prozentigen Schutz vor Angriffen bietet das jedoch nicht, tatsächlich ist dieser nicht möglich - weder bei Unternehmen, die ihre Daten in der eigenen Organisation vorhalten, noch bei Firmen, die auf Public Clouds setzen. "Unserer Erfahrung nach ist die Anwendungssicherheit aber der beste Ansatz, um den Sicherheitsproblemen wirksam zu begegnen", meint HP-Experte von Stackelberg. "Das wird die Sicherheit in der Cloud deutlich erhöhen."