In einer vernetzten Arbeitswelt, müssen die zur Abwicklung von Geschäftsprozessen eingesetzten Software-Anwendungen hohe Sicherheitsstandards erfüllen. Doch nach wie vor ist es für Angreifer viel zu leicht, in Enterprise-Systeme einzudringen und Daten zu entwenden.
Schwere Sicherheitsmängel bei der Programmierung
57 Prozent aller in einem Unternehmen eingesetzten Business-Applikationen weisen bei der Erstauslieferung schwere und inakzeptable Sicherheitsmängel auf. Das gilt auch bei weniger geschäftskritischen Anwendungen, die geringere Sicherheitsstandards haben. Zu diesem Ergebnis kommt die Studie "State of Software Security Report" des US-Sicherheitsanbieters Veracode.
Foto: Veracode
Erschreckend ist den Studienautoren zufolge, dass über 80 Prozent der von der internen IT-Abteilung entwickelten Web-Anwendungen nicht die zehn wichtigsten Anforderungen des Open Web Application Security Projects (OWASP) erfüllen. Das ist ein Industrie-Standard zum Aufdecken kritischer Programmierfehler in Web-Applikationen.
Web-Applikationen: XSS-Angriffe bevorzugt
51 Prozent aller Sicherheitsverletzungen bei webbasierten Anwendungen werden durch Cross-site-Scripting-Attacken (XSS) verursacht. Mit weitem Abstand folgen Informationsverluste (12 Prozent) sowie Angriffe per CRLF Injection (11 Prozent). Vor allem Geschäftsanwendungen, die auf der .Net-Plattform von Microsoft basieren, weisen der Untersuchung zufolge eine "abnorm hohe Anzahl" an Sicherheitslücken für XSS-Angriffe auf. Ursache hierfür sei der Einsatz von .Net Controls. Rund 20 Prozent der Applikationen sind in .Net geschrieben, mehr als 56 Prozent basieren auf Java und rund 22 Prozent auf C/C++.
Foto: Veracode
Ein interessantes Detail ist, dass Anwendungen für Finanzdienstleister nur halb so viele XSS-Lücken aufweisen wie Applikationen für Banken und Versicherungen. Enterprise-Lösungen für Finanzdienstleister erzielen im Vergleich mit anderen Industrien das höchste Sicherheitsniveau beim ausgelieferten Roh-Code. Andererseits gibt es - bezogen auf ihre Kritikalität - erhebliche Defizite beim Risiko-Management dieser Anwendungen.
41 Prozent der untersuchten Business-Anwendungen sind zudem offen für Angriffe, weil Geschäftsdaten entweder unverschlüsselt vorliegen oder völlig unzureichend verschlüsselt sind. Laut Bericht unterstreichen diese Zahlen, dass Entwickler eine bessere Ausbildung und besseres technisches Equipment brauchen.
Pfusch von Software-Lieferanten
Foto: Veracode
Unternehmen, die Anwendungen von einem externen Software-Lieferanten beziehen, müssen damit rechnen, dass die ausgelieferten Applikationen zu über 80 Prozent schwere Sicherheitslücken aufweisen. Das ist insofern von Bedeutung, weil der Anteil fremder Software-Codes im IT-Portfolio von Firmen inzwischen im Schnitt bei rund 30 Prozent liegt.
Besonders häufig, nämlich in 60 Prozent der Fälle, müssen entwickelte Cloud-Applikationen und Web-Anwendungen im Rahmen von Change Requests an die Lieferanten zurückgeschickt werden. Bei entsprechenden Lösungen von System-Integratoren oder von Software-Herstellern liegt die Quote bei jeweils rund 20 Prozent.
Positiv ist, dass Lieferanten die nach der ersten Auslieferung bei einer Anwendung festgestellten Sicherheitsmängel im Schnitt innerhalb von 16 Tagen reparieren und diese wieder an den Kunden ausliefern konnten.
Mehrere Techniken beim Security-Testing
CIOs bzw. CISOs (= Chief Information Security Officer) sollten Sicherheitstests bei neu ausgelieferten Anwendungen gleichzeitig anhand verschiedener Methoden durchführen lassen. Möglich ist beispielsweise die Verknüpfung statischer Analysen ausführbarer Binärdateien mit manuellen Penetrationstests, etwa nach der OWASP-Top-10-Liste oder der CWE/SANS-Top-25-Liste. Welche Techniken jeweils eingesetzt werden, hängt zum einen vom Typ der Anwendung ab, zum anderen von deren Kritikalität.
Für die Untersuchung hat der US-Sicherheitsspezialist mehr als 2.900 Business-Applikationen, die seine Kunden einsetzen, über einen Zeitraum von 18 Monaten untersucht.