Foto: Jürgen Fälchle - Fotolia.com
Kaum ein IT-Chef kann die Zahl aller Web-Applikationen seines Unternehmens genau beziffern. Darin liegt eine Gefahr für die Unternehmensnetze. Wie stark dieses Risiko unterschätzt wird, zeigen immer wieder neue Skandale um Datendiebstähle im Netz. Wie man es besser macht, ist Thema einer Web-Infosession der Computerwoche. Unter dem Titel "Die letzte Grenze der Cyber-Security: so sichern Sie Ihre Web-Applikationen" diskutiert Lucas von Stockhausen, Senior Solutions Architect von Veracode, mit Uwe Küll von der Computerwoche.
Laut einer von Veracode und IDG durchgeführten Studie testen Unternehmen die Mehrzahl – nämlich 60 Prozent – ihrer Applikationen nicht auf Verwundbarkeit. Zählungen haben ergeben, dass ein Unternehmen heute im Schnitt 862 Applikationen am Laufen hat. Das sind dann also 534 Anwendungen, die nicht getestet werden. Von Stockhausen vergleicht die Situation gern mit dem berühmten Hadrianswall. Das römische Grenzbefestigungssystem von Kaiser Hadrian (76 – 138) sollte auf einer Länge von rund 113 Kilometern die Grenze bewachen und Überfälle sowie unkontrollierte Einwanderung verhindern. 80 legale Tore zählte der Wall.
Glaubt man von Stockhausen, haben die „Walls“ manchen Unternehmensnetzwerks heute sehr viel mehr Tore. Und die sind nicht immer dort, wo man sie vermutet. Dies zeigt das Beispiel der Firma Target, die über das Service-Interface ihres Strom- und Klimaanlagenlieferanten gehackt wurde. Von Stockhausen: „Ein Kunde hat mal zu mir gesagt: Eine Schnittstelle hat immer zwei Seiten. Das Eine ist, wofür sie geplant war, das Andere, wofür sie genutzt wird.“
Der Veracode-Manager gibt zu bedenken: „Jede Site ist eine eigene Applikation.“ Seine Kunden kommen üblicherweise mit einer Schätzung zu ihm, wie viele Websites das eigene Unternehmen denn habe. Beginnt Stockhausens Team mit der Arbeit, entdecken sie mehr Sites – das reicht von zehn Prozent bis zu deutlich mehr. „In einem Fall haben wir viermal mehr Sites gefunden, als die Firmenleitung dachte“, berichtet er. Das liegt schlicht daran, dass Fachabteilungen an der internen IT vorbei arbeiten. Für jedes Produkt bauen sie eine eigene Site, oder lassen extern eine bauen. Hinzu kommen Sites von Partnern und Zulieferern.
Die Lösung zur Verbesserung der Applikationssicherheit liegt im sytematischen Testing. Nach von Stockhausens Beobachtung testen viele Entscheider erst, wenn die Anwendung fertig ist. Zu spät also. „Schon während der Entwicklung muss getestet werden“, so der Appell des Managers. Manuelles Testing oder Tests auf Zuruf können diesem Anspruch nicht gerecht werden. Tests müssen wiederholbar sein, so von Stockhausen, und automatisiert in einem regelmäßigen Rhythmus ablaufen.
Monitoring ist hier ein weiteres Stichwort. „Der Hadrianswall hat ja nicht nur Tore, sondern auch Außenposten“, sagt er. Im Übrigen schade es auch nicht, mal das eine oder andere Tor zuzumauern.