Messer fallen lassen und Hände weg vom AppSec-Budget!

Nehmen wir an, das Amt für Wasserversorgung stünde vor einer plötzlichen Krise, die den Aufbau einer neuen Infrastruktur erfordert. Wenn man nun versuchen würde, die damit verbundenen Kosten durch den Wegfall der Wasseraufbereitung zu decken, würden Sie vermutlich am Verstand des Abteilungsleiters zweifeln. Zu Recht.

Wen würde es kümmern, ob die Wasserversorgung aufrechterhalten oder ausgeweitet wird, wenn man das Wasser nicht unbedenklich trinken kann? Sicherheit für Kosteneinsparungen zu opfern, ist nie eine gute Idee.

Trotzdem ist die Denkweise in der digitalen Welt durchaus verbreitet. Dabei können Sie ganz ähnlich argumentieren wie im obigen Beispiel. Nämlich dann, wenn die Unternehmensführung erwägt, das Budget für Tests zur Anwendungssicherheit auszuhöhlen, um Verluste durch die wirtschaftlichen Folgen von großflächigen Shutdowns zu decken. Ja, deren Folgen sind real. Sie erfordern umfangreiche Anpassungen, die niemand je für nötig gehalten hätte. Millionen von Menschen sind arbeitslos geworden, die Wirtschaft schrumpft und Unternehmen müssen erhebliche Kosten einsparen, um zu überleben. Aber um angemessen mit der Situation umzugehen, muss man Prioritäten setzen. Und eine der höchsten Prioritäten sollte der Schutz von Assets sein, die, sollten sie kompromittiert werden, eine noch größere existenzielle Bedrohung für ein Unternehmen darstellen als ein vorübergehender wirtschaftlicher Niedergang es tut. 

Unsichere Software ist gefährlich 

Heutzutage sind Software-Sicherheitstests die digitale Version der Wasserreinigung. Software unterstützt die Anwendungen, die mit internen Systemen und den persönlichen wie finanziellen Daten Ihrer Kunden interagieren. Wenn solche Software nicht strenge Sicherheitstests durchläuft, finden Angreifer die inhärenten Schwachstellen und sind in der Lage geistiges Eigentum zu stehlen, vertrauliche und finanzielle Kundendaten offenzulegen oder die Finanzen des Unternehmens zu plündern.

Das wiederum führt zu einer ganzen Reihe von schwerwiegenden Folgen: die Marke wird beschädigt, es kommt zu Rechtsstreitigkeiten, zum Verlust von Marktanteilen oder zu Sanktionen wegen Nichteinhaltung gesetzlicher Bestimmungen und so weiter. Genug, um ein Unternehmen zu schwächen, das bereits in Schieflage geraten ist.

Riesige Chance für Cyberkriminalität

Die meisten Cyberkriminellen sind finanziell motiviert, und sie beherzigen die inzwischen berühmt gewordene Ermunterung von Rahm Emanuel, dem ehemaligen Bürgermeister von Chicago und Spitzenbeamten der Regierung: „Man darf eine Krise niemals ungenutzt verstreichen lassen. Cyberkriminelle haben sich das nicht zweimal sagen lassen. Das FBI berichtete kürzlich, dass die Zahl der Meldungen an das Internet Crime Complaint Center (IC3) um 300 bis 400 % gestiegen sind, von etwa 1.000 auf 3.000 bis 4.000 pro Tag. Zu den Zielen von Cyberangriffen gehörte auch die Weltgesundheitsorganisation (WHO), die eine Verfünffachung der Angriffe gegen ihre Mitarbeiter und E-Mail-Betrügereien gegen eine breite Öffentlichkeit meldete.

Die Small Business Administration (SBA) der USA meldete eine Sicherheitsverletzung, durch die personenbezogenen Daten von fast 8.000 Geschäftsinhabern offengelegt wurden, die staatliche Katastrophenkredite beantragt hatten. Ärzte und Krankenhäuser und selbst die NASA haben Spitzen bei COVID-19-bezogener Malware und Phishing-Angriffen gemeldet. Die Liste lässt sich beliebig fortsetzen – weltweit. 

Arbeiten von zu Hause vergrößert die Angriffsfläche

Das allein wäre Grund genug, Tests zur Applikationssicherheit eine Priorität beim Budget einzuräumen. Aber es ist nicht der einzige. Mit dem plötzlichen Wechsel zu einer Work-from-home (WFH)-Regelung hat die Angriffsfläche vieler Unternehmen exponentiell zugenommen. In einer Büroumgebung ist es noch vergleichsweise einfach einen gewissen Sicherheitslevel aufrecht zu erhalten. Thomas Richards, Principal Consultant and Red Team Practice Leader bei Synopsys, erwähnte kürzlich, dass ein globales Unternehmen plötzlich vor der Aufgabe stand, Tausende von Notebooks für Mitarbeiter zu beschaffen, die zuvor an Desktops gearbeitet hatten. Neben der Beschaffung der Geräte habe es eine wahnsinnige Hektik gegeben, „diese zu konfigurieren und entsprechende Richtlinien zu entwickeln“ – was der Erfahrung nach fast unweigerlich zu Fehlern führt. 

In der Zwischenzeit waren diese Mitarbeiter, wie so viele andere auch, gezwungen, etliche Dinge online und ohne den gewohnten persönlichen Kontakt zu erledigen, wie etwa die Zusammenarbeit über Videokonferenzplattformen, die ihre ganz eigenen Sicherheitsschwachstellen haben. Ein gefundenes Fressen für Cyberkriminelle.

Das könnte Sie auch interessieren:

Bericht zur Open-Source-Sicherheits- und Risikoanalyse

Synopsys hat den Bericht zur Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2020 veröffentlicht.

Er vermittelt Sicherheits-, Risiko-, Rechts- und Entwicklungs-Teams Einsichten und Empfehlungen, mögliche Risiken hinsichtlich Open-Source-Sicherheit und -Lizenzen besser zu verstehen. 

Deutsch, 39 Seiten, PDF 2,1 MB, kostenlos

Zunehmend komplexe Software erhöht das Risiko

Ein weiterer Grund, warum Tests zur Applikationssicherheit Priorität haben sollten, liegt darin begründet, dass es ebenso schwierig wie wichtig ist moderne Software zu schützen. Wenn man hier alles richtig machen will, muss man konsequent Zeit und Geld investieren. Moderne Software wird immer komplexer, denn sie setzt sich aus Hunderten oder Tausenden von Komponenten (proprietären, Open Source, kommerziellen) zusammen und ist über ein riesiges Netz von Software-Lieferketten miteinander verbunden. Neuere Technologien wie APIs und Microservices, Cloud Computing, Container, serverlose Computer, OSS-Komponenten und Frameworks tun ein Übriges. Viele Unternehmen sind längst nicht so versiert im Testen, Härten und Sichern dieser Technologien wie im Umgang mit Software noch vor einigen Jahren. All das vergrößert die Angriffsfläche.

Nur ein Beispiel: Die schnelle Einführung von White-Label-Integrationen bei Großhändlern wie Costco und Safeway durch Instacarts erreichte durch die Nachfrage nach „Personal Shoppern“ eine Spitze von 150 % aufgrund von sogenannten „Shelter-in-Place“-Bestellungen. Hier werden Echtzeit-Lagerbestände mehrerer großer Einzelhandelsketten in eine App übertragen, die von den Verbrauchern durchsucht werden kann. Diese Informationen werden dann mit dem Mobiltelefon eines Instacart-Fahrers verbunden. Das ist mit ein paar Zeilen in Python – oder auch ein paar tausend Zeilen – nicht zu machen. Es erfordert eine enorme Menge an Code, der rigoros getestet werden muss, will man nicht in Gefahr laufen Ziel eines Hackerangriffs zu werden.

Tests für sichere Software-Anwendungen

Getreu dem nun schon bekannten Mantra „Man darf eine Krise niemals ungenutzt verstreichen lassen“ lässt sich die aktuelle Situation aber auch nutzen, um die eigene Wettbewerbsposition zu verbessern. Wenn man Applikationssicherheit in die Arbeit der Produktteams integrieren will, müssen sich sowohl die Prozesse ändern als auch die vorherrschende Unternehmenskultur. Warum also nicht die Umstellung auf Remote Working als Anlass für Veränderungen nehmen und dabei das Gesamtrisiko senken? Dies ist durchaus Teil der Krisenbewältigung und stärkt langfristig die eigene Wettbewerbsfähigkeit. 

Die gute Nachricht ist, dass Tools und Services für sichere Software verfügbar sind, von der statischen Analyse über dynamische bis hin zu interaktiven Sicherheitstests, von der Software Composition Analysis (SCA) bis hin zu Penetrationstests am Ende des Software Development Life Cycle (SDLC). Die Sache hat nur einen Haken. Alle genannten Tools und Dienste sind gleichermaßen wichtig. Kein Tool kann alles. Man kann nicht einfach einen Knopf drücken und zusehen, wie alle Schwachstellen verschwinden. Es braucht Zeit, Expertise, gut ausgebildete Mitarbeiter und Investitionen. Jetzt mehr denn je. 

Taylor Armerding, Synopsys, www.synopsys.com/