Angriffe wie SQL-Injection oder Cross-Site-Scripting sind bei Cyber-Angreifern beliebt. Sie nutzen hierfür Sicherheitslücken in Web-Applikationen aus. Laut einer Studie des Softwarespezialisten Coverity, fanden über die Hälfte der befragten Firmen aus dem Bereich Softwareentwicklung, Schwachstellen in Webanwendungen.
Um Sicherheitslücken zu schließen, hilft eine Security-Policy, die auch Entwicklerteams einbezieht. Unternehmen sollten nach Angaben von Helmut Philipp, Regional Director Central & Eastern Europe von Coverity, folgende fünf Punkte beachten:
- Welche Anwendungen bergen das größte Sicherheitsrisiko?
Am Anfang stehen Bestandsaufnahme und Risikobeurteilung. Denn häufig sind so viele Anwendungen in Unternehmen im Einsatz, dass eine sinnvolle Priorisierung für das Testen unabdingbar ist. Ansonsten laufen die Bemühungen ins Leere und Ressourcen werden unnötig verschwendet, ohne den gewünschten Erfolg zu erzielen. - Wie lassen sich Entwickler für das Thema Sicherheit sensibilisieren?
Üblicherweise sprechen Sicherheitsverantwortliche und Developer unterschiedliche Sprachen. Beim Thema Security wittert der Entwickler schnell Zeitverzögerung, Mehraufwand und Innovationsverlust. Tests sollten jedoch bereits in der Entwicklungsphase stattfinden und deshalb nahtlos in deren Prozesse integriert werden. Nur so lassen sich Barrieren vermeiden und ein Sicherheitsbewusstsein aufbauen. - Sind die Sicherheitstests aus Entwicklersicht verständlich?
Hier liegt das größte Potenzial zur Verbesserung der Anwendungssicherheit verborgen. Obwohl zahlenmäßig den Entwicklern meist weit unterlegen, wollen Sicherheitsverantwortliche ihre Ansichten durchsetzen, ohne die Developer-Kultur zu verstehen. Nur wenn sich beide Seiten verstehen, lassen sich durch Test Kosten verringern. - Ist das Thema Sicherheit im Entwicklungsprozess integriert?
Hierfür sind Programme zur Anerkennung sicherheitsrelevanter Innovationen hilfreich. Zudem sollten Kooperationen zwischen Entwicklergruppen aufgebaut werden. Das können beispielsweise Team-Rankings sein, bei denen man die erfolgreichsten mit einem Preis auszeichnet. Diese Elemente verbessern nicht nur die Motivation allgemein, sondern verschaffen dem Thema Sicherheit eine andauernde Präsenz. - Basiert die Security-Policy auf klar formulierten Standards?
Existiert eine Policy zur Verbesserung der Anwendungssicherheit, muss diese klar und verständlich kommuniziert werden. Entscheidend ist, dass sie auch von oberster Stelle getragen und unterstützt wird. Zudem sollten alle Beteiligten vorab gemeinsam Standards bestimmen, die im Managementsystem für Informationssicherheit (ISMS) festgehalten beziehungsweise kontrolliert und verbessert werden.