Applikationen sind aus unserem Leben nur noch schwer wegzudenken – das gilt neben dem privaten Bereich vor allem auch im geschäftlichen Kontext. Diese Entwicklung unterstreicht eine Studie von McAfee (1) mit dem Ergebnis, dass Unternehmen durchschnittlich 464 unterschiedliche Applikationen in Verwendung haben. Diese Zahl muss natürlich differenziert betrachten werden, da in der Untersuchung auch sehr große Unternehmen mit über 50.000 Mitarbeitern berücksichtigt wurden (hier lag die durchschnittliche Anzahl an Applikationen bei 788).
Doch selbst weniger große Unternehmen mit bis zu 1000 Mitarbeitern nutzen durchschnittlich 22 unterschiedliche Applikationen. Klar ist auch, dass sich diese Anzahl perspektivisch erhöhen wird. Denn Innovationsdruck in Kombination mit der Schnelligkeit in der Entwicklung von Applikationen aufgrund von DevOps und anderen agilen Ansätzen sind ein starker Treiber dieses Trends.
Neben der Aussicht auf gesteigerten Unternehmenserfolg müssen Applikationen aber auch unter IT-Security-Gesichtspunkten betrachtet und bewertet werden. Denn sie sind ein beliebtes und häufiges Ziel für Hackerangriffe. Laut dem „2020 Global Threat Intelligence Report“ (2) waren bei knapp 55% aller Angriffe Applikationen das Ziel. Diese Zahl verdeutlicht die Relevanz und die Dringlichkeit von Application Security und genau darum soll es auch in diesem Blogbeitrag gehen. Ich möchte anmerken, dass er keinen Anspruch auf Vollständigkeit hat. Vielmehr werde ich verschiedene Ansätze beleuchten und Denkanstöße geben, wie Application Security in Unternehmen umgesetzt und erhöht werden kann.
Patching
Patching ist essenziell und sollte für alle Applikationen zwingend und zeitnah durchgeführt und immer aktuell gehalten werden. Damit verrate ich jetzt kein Geheimnis, die Realität sieht aber oftmals anders aus. Eine Studie von ServiceNow (3) hat ergeben, dass 60% der Hackerangriffe im Jahr 2019 Schwachstellen betrafen, für die ein Patch verfügbar war, aber nicht angewandt wurde. Die Gründe hierfür sind vielfältig: Neben der Tatsache, dass Patching zeitaufwändig ist, gaben laut ServiceNow 76% der Befragten an, dass es keine gemeinsame und abgestimmte Sicht der einzelnen Teams auf den Zustand der Applikationen im Unternehmen gibt. 72% der Befragten sagten außerdem, dass ihnen die Priorisierung der ausstehenden Patches schwerfällt. Abhilfe können hier automatisierte Tools und Managed Services schaffen, die Sie im Patch- und Schwachstellenmanagement unterstützen.
Security Testing
Sie möchten den aktuellen Sicherheitszustand Ihrer Applikationen bestimmen? Dann sollten Sie diese regelmäßig testen oder besser noch testen lassen. Manuelle Penetration Tests von erfahrenen Experten bieten eine gute Möglichkeit, Applikationen auf ihre Anfälligkeit für Hackerangriffe zu überprüfen. In einem kontrollierten und sicheren Rahmen versuchen ausgebildete Pentester, Ihre Applikationen mit den Methoden krimineller Hacker anzugreifen. Das Ergebnis ist ein detaillierter Bericht über die gefundenen Schwachstellen und eine Einschätzung darüber, inwieweit diese von kriminellen Hackern genutzt werden könnten. Darüber hinaus werden die Schwachstellen im Hinblick auf das Risiko für das Unternehmen und den Aufwand zur Behebung bewertet. Mit diesen Informationen können IT-Teams in Unternehmen die entsprechenden Maßnahmen priorisieren und umsetzen.
Ein Pentest ist jedoch nur eine Momentaufnahme des Sicherheitszustandes, der sich in Zeiten von DevOps und schnellen Entwicklungszyklen auch genauso schnell wieder verändern kann. Vor allem bei Applikationen mit einer hohen Anzahl an Changes und Updates ist ein agilerer Testing-Ansatz empfehlenswert, um Sicherheitslücken frühzeitig und schnell zu erkennen. Continuous Security Testing setzt genau dort an, in dem es automatisierte und kontinuierliche Security Scans mit manuellen Penetration Tests kombiniert. Das 24/7-Testing Ihrer Applikationen hat den Vorteil, dass Schwachstellen sehr schnell erkannt und behoben werden können und bringt Security in Einklang mit agilen DevOps-Methoden.
Schutz von webbasierten Applikationen
Webapplikationen haben die Eigenschaft, dass sie in der Regel 24/7 erreichbar sind. Das ist zum einen ein Vorteil, da Ihre Kunden und Partner Ihre Dienste auch außerhalb der traditionellen Geschäftszeiten nutzen können und im besten Fall zum Umsatzwachstum beitragen. Zum anderen aber auch ein Risiko, da das ebenso für Hacker mit böswilligen Absichten gilt, die Ihrem Unternehmen schaden wollen. Das unterstreichen Zahlen des 2020 Data Breach Investigations Reports von Verizon (4). 43% aller Datenverluste aufgrund eines Hackerangriffes entstehen durch Attacken, bei denen Webapplikationen involviert waren. Das ist mehr als doppelt so viel wie noch im Jahr 2019.
Eine Web Application Firewall (WAF) bietet Schutz vor Angriffen auf Anwendungsebene (Layer 7), indem sie sämtlichen Datenverkehr untersucht, der zu einer Webapplikation gelangt und der von einer Webapplikation ausgeht. Böswillige Anfragen, wie beispielsweise SQL-Injection-Angriffe oder Attacken via Cross-Site-Scripting, werden gefiltert oder blockiert.
Bezüglich des Schutzniveaus einer WAF gibt es Unterschiede, die Sie beachten und mit Ihren Anforderungen abgleichen sollten. Basisschutz bietet Ihnen der Schutz vor den OWASP Top 10. OWASP ist eine Non-Profit-Organisation, die in regelmäßigen Abständen die 10 häufigsten Sicherheitsrisiken für Webapplikationen auflistet und veröffentlicht. Für einen umfassenderen Schutz bieten sich WAF-Lösungen mit zusätzlichen Regelsets und zusätzlichen Sicherheitsfeatures wie zum Beispiel Geoblocking, Bot Mitigation oder DDoS-Schutz an.
Neben den Features einer WAF sollte Sie sich auch über das Management Ihrer Lösung Gedanken machen. Für einen effizienten Schutz müssen die Regeln individuell an Ihre Applikationen angepasst und regelmäßig aktualisiert werden. Changes und Updates von Applikationen ziehen ebenfalls Anpassungen Ihrer WAF-Konfiguration nach sich. Auch der Umgang mit False Positives sowie das Monitoring und Incident Management sind zeitintensiv und bedürfen einer gewissen Expertise. Sollten Sie das mit Ihren IT-Teams nicht umsetzen können oder wollen, gibt es hierfür gemanagte Lösungen am Markt. Hier übernehmen Cyber-Security-Spezialisten die individuelle Einrichtung und das Management der WAF. Und ein Security Operations Center (SOC) kümmert sich um Monitoring sowie Incident Management.
DevSecOps
Während sich die oben beschriebenen Ansätze vor allem auf bestehende Applikationen beziehen, setzt DevSecOps bereits zu Beginn der Entwicklung von Applikationen an. Denn Sicherheit sollte während des gesamten Lebenszyklus Ihrer Applikationen fester Bestandteil sein und kein nachträgliches Add-On.
DevSecOps ist eine Weiterentwicklung des DevOps-Ansatzes, der das Thema Sicherheit von Beginn an als Grundpfeiler in die agile Entwicklungsstrategie Ihrer Applikationen integriert und es zum Thema aller am Entwicklungsprozess beteiligten Teams macht. Das hört sich erstmal gut an, ist in der Praxis aber oftmals nicht ganz so leicht umzusetzen. Neben Tools zur Automatisierung, die für einen effizienten DevSecOps-Einsatz essenziell sind, muss der Grundgedanke vor allem auch in Ihrer Unternehmenskultur und in Ihren bestehenden Teams verankert werden. Eine Möglichkeit dazu sind Workshops, in denen Experten Ihr Team hinsichtlich eines DevSecOps-Mindsets schulen, aber auch Tools und praktische Methoden wie Continuous Integration, Continuous Delivery, Continuous Monitoring oder Infrastructure as Code in Ihre Abläufe integrieren.
Mein Fazit:
Application Security ist ein immens wichtiges und zentrales Thema – das belegen die in diesem Artikel zitierten Zahlen und Studien eindrucksvoll. Dementsprechend sollten Sie es in Ihrem Unternehmen mit hoher Priorität behandeln. Wichtig hierbei ist aus meiner Sicht, einzelne Maßnahmen immer in den Kontext einer ganzheitlichen Sicherheitsstrategie zu setzen, die speziell auf Ihr Unternehmen und Ihre Anforderungen zugeschnitten ist. Machen Sie sich außerdem Gedanken, wie und in welchem Maße Sicherheitsstrategien und -maßnahmen inhouse in Ihrem Unternehmen erarbeitet und umgesetzt werden können. Könnte es Sinn machen, auf die Zusammenarbeit mit erfahrenen Cyber-Security-Spezialisten zu setzen? Das kann Ressourcen sparen, die für Ihr eigentliches Kerngeschäft und zur Weiterentwicklung Ihres Unternehmens aufgewendet werden können.
Weiterführende Infos:
Webinar: DevSecOps - What, Why And How - vom Überblick bis ins Detail
Whitepaper: Cyber Security als Erfolgsfaktor für Unternehmen - mit Checkliste für Ihre Strategie
Infoblatt: Claranet Penetration Testing - für alle, die JETZT ihren Status Quo checken wollen
Sicherheit, Datenschutz und Managed Security bei Claranet - Tipps und Verstärkung von den Profis
Sie haben Interesse an einem 1:1 Austausch mit unseren Experten? Nutzen Sie gerne unser Kontaktformular und schreiben Sie uns mit dem Stichwort „Cyber Security“.
Quellen:
(1) https://www.mcafee.com/blogs/enterprise/cloud-security/every-company-is-....
(2) NTT, 2020 Global Threat Intelligence Report, https://hello.global.ntt/de-de/insights/2020-global-threat-intelligence-...
(3) https://www.servicenow.de/company/media/press-room/research-shows-cybers...
(4) Verizon, 2020 Data Breach Investigations Report, https://enterprise.verizon.com/de-de/resources/reports/dbir/