Das National Institute of Standards and Technology (NIST) definiert eine Anwendung als “ein System zum Erfassen, Speichern, Verarbeiten und Darstellen von Daten mittels eines Computers”. In diese ziemlich weit gefasste Definition fallen Unternehmensanwendungen ebenso wie solche, die sich an den Endverbraucher richten, bis hin zu Handy-Apps.
Sicherheit ist einer der zentralen Faktoren für jede Art von Anwendung, der Fokus allerdings ändert sich je nach Einsatzgebiet. Schauen wir uns das etwas genauer an.
Wie sich die Sicherheitsanforderungen bei einzelnen Anwendungen unterscheiden
Unternehmensanwendungen sind solche, die von Firmen und Konzernen genutzt werden. Solche Systeme müssen meistenteils branchenspezifische Compliance-Standards erfüllen, beispielsweise den Payment Card Industry Data Security Standard (PCI-DSS) oder den Health Insurance Portability and Accountability Act (HIPAA). Das bedeutet, es hat potenziell rechtliche und finanzielle Konsequenzen, wenn man wissentlich in Kauf nimmt, dass eine Software unsicher ist. Zum Beispiel kann das Kassensystem eines Unternehmens mit anderen Anwendungen verbunden sein, die eben nicht über einen angemessenen PCI-Schutz
Ein anderes Beispiel sind Organisationen, die für den Schutz von Gesundheits-/
Sicherheitsanforderungen nehmen die Nutzer von Unternehmensanwendungen in die Pflicht. Demgegenüber gelten für Verbraucher- und Handy-Apps deutlich andere Regeln. Solche Programme unterliegen im Allgemeinen kaum den gleichen Sicherheitsüberprüfungen wie Unternehmens-Apps, und sie sind mit weniger Compliance-Verpflichtungen verbunden. Handy-Apps haben in dieser Sicherheitshierarchie den niedrigsten Level.
Dennoch tun Unternehmen sich heutzutage schwer, der App-Sicherheit Priorität einzuräumen. Dafür gibt es eine Reihe von Gründen:
- Time-to-Market spielt eine Schlüsselrolle: Im Zuge des anhaltenden „IoT-Wahns“ ist jedes nur erdenkliche Gerät praktisch gezwungen, einen Remote-Zugang zum Internet zu ermöglichen. In die Apps, mit denen solche Geräte verwaltet werden, wird eher wenig Entwicklungszeit investiert. Und nicht selten zieht Sicherheit gegenüber dem Time-to-Market den Kürzeren. Dies gilt aber nicht nur für IoT-Apps, sondern auch für viele Shopping-, Business- und Lieferservice-Apps.
- Sicherheitsexperten fehlen: Es ist nicht neu – Mitarbeiter mit Sicherheitsexpertise und einem entsprechendem Hintergrund sind so gefragt wie sie Mangelware sind. In einer Umfrage aus dem Jahr 2020 hat Tripwire herausgefunden, dass sich 83 % aller befragten Sicherheitsexperten Anfang 2020 (noch) mehr überarbeitet fühlten als im Vorjahr. Und dies schon vor fast zwei Jahren, und erst zu Beginn der COVID-19-Pandemie. Etwa der gleiche Anteil (85 %) der Befragten hat angegeben, dass es in den letzten Jahren schwieriger geworden sei, qualifizierte Sicherheitsfachleute zu finden. Diese Kompetenzlücke erschwert es einem Unternehmen, Experten zu finden, die beim Thema Anwendungssicherheit eine führende Rolle einnehmen können.
- Falsches Rollenverständnis: Viele neue Anwendungen stützen sich auf Cloud-Dienste, und nicht selten klafft eine deutliche Verständnislücke was die relevanten Sicherheitsrollen und Verantwortlichkeiten in einer Cloud-Umgebung anbelangt. Häufig geht man davon aus, dass der Cloud-Anbieter für sämtliche Sicherheitsbelange
verantwortlich zeichnet, anstatt sich vergegenwärtigen, dass es sich um ein Shared Responsibility-Modell handelt. Derselbe Denkfehler hat sich bei Mobile Apps eingeschlichen. Viele Konsumenten gehen schlicht davon aus, dass das Betriebssystem ihres Telefons schon für einen umfassenden Schutz sorgt.
Best Practices für die Anwendungssicherheit
Zwar sind mit Apps eine Reihe von Sicherheitsherausforderungen verbunden, aber dennoch handelt es sich um ein lösbares Problem. Unternehmen erreichen einiges, wenn sie sich auch bei der App-Sicherheit auf grundlegende Best Practices konzentrieren. So sollte keine Anwendung ohne detaillierte Sicherheitsbewertung freigegeben und eingesetzt werden. Dabei sollte man sowohl den verwendeten Unternehmenscode überprüfen als auch Code und Pakete Dritter auf Schwachstellen hin abklopfen. Natürlich hat nicht jede bekannte Schwachstelle automatisch hohe Priorität. Schon allein deshalb sollten Unternehmen die Risiken bestehender Sicherheitslücken priorisieren.
Auf dieser Basis lässt sich ein Zeitplan für das Patch-Management erstellen, bei dem die bekannten Schwachstellen nach Priorität behoben werden. Allerdings sollte kein Produkt, keine Anwendung oder App freigegeben werden, wenn sie Schwachstellen mit hoher Priorität aufweisen, die sich ausnutzen lassen. Schwachstellen mit eher niedriger Priorität, die weder Datenverluste verursachen noch zum Ausnutzen eines Geräts verwendet werden können, kann man wenigstens zum Teil auf die nächste Version verschieben.
Es sind aber nicht nur Schwachstellen, die Kopfzerbrechen machen. Sichere Konfigurationen (oder das Fehlen derselben) sind eine andere, weit verbreitete Herausforderung – insbesondere, wenn es um Cloud-Umgebungen geht. Untersuchungen haben ergeben, dass 73 % der Unternehmen derzeit in einer Multi-Cloud-Umgebung arbeiten. Aber die Sicherheitsexperten, die für diese Art von komplexen Umgebungen verantwortlich zeichnen, berichten mit überwältigender Mehrheit (98 %), dass der Rückgriff auf verschiedene Cloud-Anbieter zusätzliche Sicherheitsherausforderungen mit sich bringt. Ganz zu schweigen davon, dass nur 21 % über einen zentralen Überblick zu Sicherheitsstatus und Richtlinienkonformität über sämtliche Cloud-Konten ihres Unternehmens verfügen.
Nicht jedes Unternehmen ist in der Lage, Schwachstellen und sichere App-Konfigurationen komplett in Eigenregie zu managen. Aktuell ist es so gut wie unmöglich, ein Sicherheitsteam mit allen erforderlichen Kompetenzen zu besetzen. Unternehmen sollten versuchen, diese Lücke zu schließen, indem sie Anbieter und Partner auswählen, die nachweislich eine weitreichende Expertise auf diesem Gebiet vorweisen können.
Autor: Lamar Bailey, Senior Director of Security, www.tripwire.com