Neuer Ansatz soll Application-Security von der Entwicklung bis zur Inbetriebnahme gewährleisten

IT-Sicherheit: Prävention beginnt schon bei der Entwicklung

01.04.2008
Mit dem Konzept Business Software Assurance will der Sicherheitsspezialist Fortify seinen Kunden helfen, das Betriebsrisiko vor allem von Web-Applikationen zu senken. Analysewerkzeuge durchleuchten hierzu Code sowie laufende Anwendungen.

Viele Schwachstellen in Software lassen sich ausnutzen, obwohl Firmen Antiviren-Tools, Firewall und Intrusion Prevention nutzen. Fortify hat sich deshalb entschlossen, Sicherheit als kontinuierlichen Prozess von der Entwicklung bis hin zum Betriebe zu verstehen. Der Anbieter setzt darauf, Applikationscode nicht nur bei der Entwicklung zu testen, sondern auch Live-Systeme ständig zu kontrollieren und Sicherheitslücken zu schließen. Neben dem Einsatz entsprechender Technik sieht Fortify auch organisatorische Maßnahmen vor. Dazu zählt etwa eine bessere Abstimmung zwischen Sicherheitsexperten, Qualitätssicherung und Entwicklern. Laut Fortify liegt ein Kernproblem darin, dass Entwicklungsteams möglichst schnell leistungsfähigen Code schreiben möchten, die Sicherheit dabei aber immer wieder vernachlässigt wird. Doch gerade Schwachstellen im Quellcode seien Ursache vieler Probleme, insbesondere bei über das Web zugänglichen Geschäftsapplikationen.

Schutz auf Applikationsebene

Der Hersteller richtet sich mit seinem Angebot an die für Risiko-Management verantwortlichen. Angesprochen werden Firmen, die eigene Geschäftsapplikationen entwickeln, sich Risiken wie Hackerattacken sowie anderen Bedrohungen ausgesetzt sehen und ihre bestehenden Schutzeinrichtungen ergänzen wollen. Handlungsbedarf bestehe, weil sich Eindringlinge zunehmend auf die Applikationsebene von Web-Umgebungen einschießen. Von Erfolg gekrönt werde die Idee vor allem dann sein, wenn auch die Geschäftspartner und sogar die Kunden ihre eigenen Applikationen einer kontinuierlichen Sicherheitskontrolle unterzögen.

Bestehende Produkte kombiniert

Der Sicherheitsspezialist stützt sein Konzept auf das neue Produkt "Fortify 360", das eine Reihe von Softwarebausteinen bereitstellt, mit denen Unternehmen Sicherheitsschwachstellen in ihren Programmen erkennen und beheben können. Neben Analysemethoden zählen dazu Funktionen, um Probleme zu identifizieren sowie deren Gefahrenpotenzial einschätzen zu können. Dashboards liefern Berichte zur Gefahrensituation über verschiedene Anwendungen hinweg. Fortify kombiniert in der Suite bereits bestehende Bausteine für die statische Code-Analyse und das Inspizieren von dynamischem Programmcode. Nach Einschätzung von Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Beratungshauses Cirosec aus Heilbronn, kann Fortify im Gegensatz zu anderen Herstellern eine integrierte Suite aus statischer und dynamischer Code-Untersuchung anbieten. Während laut Strobel das statische Durchforsten von Codezeilen für zahlreiche Sprachen erhältlich ist, funktioniert die dynamisch Kontrolle aber nur bei Programmen, die mit einer Zwischensprache (Bytecode) arbeiten. Dazu zählen unter anderem die Sprachen C# und Java. (fn)

Weitere Beiträge zu IT-Sicherheit: