04.09.2015, 00:00 Uhr
Die Softwareentwicklung ist die größte Cybergefahr
Vieles spricht dafür, dass der Prozess der Softwareentwicklung überdacht werden muss, wenn man für mehr Sicherheit für Unternehmens- und Kundendaten sorgen will.
Das US Dpartment of Homeland Security nimmt an, dass 90 Prozent aller Sicherheitsprobleme durch das Ausnutzen von Fehlern in Software entstehen. Oder anders gesagt: Schlecht geschriebene Software ist die größte Gefahr im Cyberspace. Die Studie "Forrester Wave: Application Security Report" besagt, dass viele Unternehmen zuletzt Software überstürzt veröffentlicht haben, um ihre Geschäftschancen zu maximieren und ohne über die Sicherheit der ausgebrachten Apps nachzudenken. Die Konsequenz daraus: Die Unternehmen haben damit eigene Daten und sensible Kundendaten nicht vor Angriffen geschützt. Diese Aussagen stammen aus einem englischsprachigen Beitrag von Steve Morgan, Gründer und CEO des Unternehmen Cybersecurity Ventures sowie Chefredakteur des Cybersecurity Market Report, der hier auszugsweise übersetzt und wiedergegeben wird.
84 Prozent aller Cyber-Angriffe, so SAP-Mitarbeiter Tim Clark in einem Forbes-Blog, erfolgen auf dem Application-Layer. Cisco hat in seinem Annual Security Report ähnliches festgestellt: "Das Erscheinen von Cloud-Apps und die Verfügbarkeit von Do-It-Yourself-CMS hat eine Landschaft angreifbarer Websites und SaaS-Angeboten hervorgebracht. Die unterliegenden System-/Netzwerk-Layer mögen den Attacken standhalten, aber auf der Application-Layer ist oft gespickt mit Schwachstellen."
Ein Grund für die Problematik ist laut ”The SANS Institute 2015 State of Application Security Report” dass viele Sicherheitsspezialisten nichts von Softwareentwicklung verstehen und die Entwickler sich mit Sicherheit nicht auskennen. Entwickler und ihre Manager sind darauf fixiert, Features auszuliefern und Time-to-Market-Erwartungen zu erfüllen. Sicherheitsaspekte stören dabei häufig.
CNET hat kürzlich berichtet, dass Programmierer häufig Code anderer in ihren Code kopieren, ohne diesen auf seine Sicherheit zu prüfen. Diese weit verbreitete Praxis öffnet Hackern die Möglichkeit, mit einigen wenigen Exploits sehr viele Anwendungen anzugreifen.
Frank Zinghini, CEO of Applied Visions, ist sich sicher, dass sich die Security-Industrie zu sehr darauf konzentriert bereits veröffentlichte Software zu prüfen. Die Anwendungssicherheit sollte vielmehr bereits in einem sehr frühen Stadium des Software Development Lifecycle berücksichtigt werden. Auch Sicherheitslücken lassen sich günstiger stopfen, wenn sie frühzeitiger entdeckt werden.
McKinsey-Partner James Kaplan sagte dazu: "Ein für die Softwareentwicklung weitaus besseres Modell bestünde darin, vom ersten Tag an einen Security-Architekt in das Projekt einzubinden, Entwickler im Schreiben von sicherem Code auszubilden und in Tools für sichere Softwareentwicklung zu investieren. Das würde zu weniger Sicherheitslücken am Ende des Projektes führen."
Den kompletten englischsprachigen Artikel von Steve Morgan finden Sie auf dieser CSO-Seite. [bl]