Unterschätztes Risiko

Apps als Einfallstor für Cyber-Angriffe

Georg Lauer ist Senior Principal Business Technology Architect bei CA Technologies
Um an sensitive Unternehmensdaten zu gelangen, zielen die Hacker zunehmend auf die Applikations-Ebene ab. Diese wird von IT-Professionals leider noch mit zu wenig Aufmerksamkeit behandelt und bietet so ein ideales Einfallstor für kriminelle Angriffe.

Die zunehmende Abhängigkeit von Software als Basis für Geschäftsentscheidungen sowie die Qualität der Unternehmens-Applikationen beeinflussen nachhaltig, wie Partner und Kunden das Unternehmen wahrnehmen. Fehlerhafte oder unsichere Software bringt nicht nur die eigenen Daten, sondern auch die der Geschäftspartner und Kunden in Gefahr. Dies wirkt sich massiv auf die Geschäftsbeziehungen aus und könnte schwere Image-Schäden nach sich ziehen. So gilt das Application Layer bei Cyberkriminellen als finales Einfallstor zum Herzen des Unternehmens. Hacker sind sich bewusst, dass Unternehmen mit den rasanten Veränderungen im App-Bereich kaum Schritt halten können, und setzen folglich an dieser Schwachstelle an.

Applikationen stellen häufig die Achillesferse in der Sicherheitsstruktur von Unternehmen dar.
Applikationen stellen häufig die Achillesferse in der Sicherheitsstruktur von Unternehmen dar.
Foto: cybrain - shutterstock.com

Somit stellt sich der Application Layer als die herausforderndste Ebene heraus, die es zu verteidigen gilt. Die Verletzbarkeit ergibt sich durch ihren starken Zugang zur Außenwelt sowie denr möglichen komplexen Nutzer-Szenarien. Damit die Applikations-Ebene funktioniert, müssen Port 80 (http) und Port 43 (HTTPS) für die Außenwelt zugänglich sein - was mögliche Sicherheitsrisiken beherbergt.

Die großen Gefahren bestehen aus dem Stehlen von Benutzerdaten, der kompletten Manipulation der Applikation sowie einem völligen Defekt. 2014 waren SQL Injections, eine Art des Applikations-Hackens, der dritthäufigste Cyber-Angriff unter allen Datenverletzungen. Dabei verwenden die Kriminellen einen schadhaften SQL-Code, um im Backend Datenbestände zu manipulieren. Eine absolute Abschottung gegen die Außenwelt ist im 21. Jahrhundert keine praktikable Option mehr. Daraus ergibt sich eine unausweichliche Thematik der Applikationssicherung, der sich Unternehmen stellen müssen.

Die Gründe für die Sicherheitsvernachlässigung variieren - von falschen Vorstellungen bezüglich der Kosten oder Komplexität bis hin zum fehlenden Verständnis eines solchen Projekts. Dabei kann jede Organisation, egal welcher Größe, das Risiko eines Verlusts der eigenen Datenhoheit reduzieren.

Security by Design

Es ist trügerisch, wenn Unternehmen auf Patches vertrauen, um Sicherheitslücken zu schließen - diese dürfen gar nicht erst entstehen. Durch ein Application-Security-Programm, das fest in den Software Developement-Lifecyle eingebettet ist und zugleich komplette Visibilität in alle Entwicklungsschritte bietet, kann präventiv eine Cyberverteidigung aufgebaut werden.

Um diese umfassende Visibilität zu erreichen, muss eine solche Lösung proaktiv Inventarlisten aller Komponenten und aktueller Versionen der eigenen IT-Umgebung erstellen. Nur so ist man in der Lage, in einer Open-Source-Umgebung schnell auf entstehende Sicherheitslücken zu reagieren.

Ebenso wichtig wie die Sicherheit des Application Layers ist auch, dass Unternehmen sich nicht auf die scheinbare Sicherheit von Third-Party Apps verlassen. Oft werden neue oder aktualisierte Applikationen zeitnah gebraucht und für eine hausinterne Entwicklung oder eingehende Prüfung fehlt die Zeit.

Es sollte dennoch nicht der Fehler gemacht werden, sich unkontrolliert auf die programmierten Apps von Drittanbietern zu verlassen. Eine IDG-Studie aus dem Jahr 2014 hat ergeben, dass 38 Prozent aller Enterprise-Applikationen intern und 28 Prozent extern entwickelt werden, während 34 Prozent von Software-Herstellern bezogen werden.

Wie Application-Security-Lösungen helfen

Die Problematik bei dieser bunten Zusammensetzung ergibt sich aus dem verlorenen Überblick und dem fehlenden Gewährleisten einer einheitlichen Sicherheit. Hier schaffen Application-Security-Lösungen Abhilfe, die unter anderem:

  • Open-Source-Komponenten bezüglich ihres Sicherheitsstatus katalogisieren und bei Risiken automatisch melden,

  • dabei helfen, fremde Applikationen bezüglich ihres Sicherheitsrisikos zu bewerten,

  • Policy-basiert arbeiten und externe Software mit den Unternehmensrichtlinien und Compliance-Vorschriften wie PCI, NIST, HIPPA und MAS abgleichen.

Somit stellt Application Security eine Notwendigkeit in puncto Datensicherheit dar, die sensible Daten vor kriminellen Energien schützen kann. (mb)