Software aus der Cloud, mobile Apps und Web-fähige Programme bieten Angreifern zahlreiche Einfallstore aufgrund ihrer Internet-Anbindung. So steigt die Zahl der Anwendungen, die permanent überwacht werden oder als sicherheitsrelevant klassifiziert sind. Rund 800 geschäftskritische Lösungen sind mittlerweile bei Finanzdienstleistern im Einsatz, in Unternehmen aus anderen Branchen sind es im Durchschnitt zwischen 400 und 500 kritische Anwendungen.
Um diese Lösungen auf längere Sicht sicher und zu überschaubaren Kosten betreiben zu können, empfiehlt Veracode, Anbieter von On-demand-Sicherheitstests, den Code bereits während Entwicklung, Testphase und Deployment zu prüfen. Das soll die Zahl der Schwachstellen von vornherein herunterschrauben und damit auf lange Sicht den Verwaltungsaufwand reduzieren, den Korrekturen von fehlerhaften Programmen üblicherweise nach sich ziehen.
US-Sicherheitsanbieter Veracode hat nun 100 Unternehmen aus den USA und Großbritannien befragt, wie sie den Code von selbst entwickelten sowie gekauften Anwendungen und mobilen Apps prüfen. Anschließend hat der Sicherheitsdienstleister verglichen, ob die eingesetzten Methoden die wichtigsten Schwachstellen erfassen.
Die Methode Open Webapplication Security Project (OWASP)
Rund 50 Prozent der befragten Unternehmen stützen sich bei ihren Softwaretests auf das Open Webapplication Security Project (OWASP), einer Organisation von Experten für Web-Application-Sicherheit. Diese Experten stellen regelmäßig eine Liste der gefährlichsten Softwarefehler zusammen, um Entwickler auf kritische Probleme hinzuweisen. Dazu gehören vor allem ungefilterte Eingaben, die Angreifer ausnutzen können, und immer wieder fehlen Authentifizierungsmaßnahmen für kritische Funktionen. Auch finden sich öfters Upload-Funktionen, die die übermittelten Dateien nicht hinreichend durchleuchten.
Anhand dieser Bugliste der OWASP lässt sich nun die Qualität des Codes messen. Dazu wird ermittelt, wie viele der zehn häufigsten Fehler im Code vorkommen. Rund 50 Prozent der befragten Unternehmen setzten diese Liste ein, um Anwendungen und mobile Apps zu testen.
Noch umfangreicher ist die Common Weakness Enumeration (CWE), ein Lexikon von Programmierfehlern, das von einer Entwicklercommunity zusammengetragen wird. Dieses Buglexikon prüft sowohl Webanwendungen als auch On-Premise-Lösungen. Diese Liste wird ebenfalls von über 50 Prozent der befragten Unternehmen genutzt, so der Report.
So gut decken die Verfahren bekannte Schwachstellen auf
Damit erfassen diese Unternehmen die bekanntesten Schwachstellen, so das Fazit des Reports. Denn die Analyse zeigt, dass die Mehrheit der bei Veracode eingereichten Anwendungen durch den ersten Test fallen, da sie Fehler enthalten, die in einer der beiden Listen erfasst sind. Damit erfassen die beiden Listen die wichtigsten Schwachstellen.
Der Schwachpunkt des Verfahrens liegt aber laut Veracode im Verfahren selbst: Diese Listen seien nie vollständig, da ständig neue Schwachstellen gefunden werden, und die Angreifer immer wieder neue Wege entdecken. Zudem liegt das größte Problem bei mobilen Apps darin, dass man nie überschauen könne, welche Apps die Nutzer herunterladen. Das erfordere einen End-to-End-Ansatz für die Sicherheit. Oft müssen kritische Lösungen durchgängig überwacht werden.
Auch gekaufte Apps gelten als unsicher
Das gelte nicht nur für selbst entwickelte Lösungen, sondern auch für gekaufte Anwendungen und Apps. Denn nur 55 Prozent der Firmen rechnen damit, dass die gelieferte Lösung ausreichend sicher ist. Das liegt wohl daran, so Veracode, dass diese Lösungen wesentlich häufiger ins Web gehen als eigen entwickelte Systeme. Auch sind diese Lösungen bei Hackern bekannter als selbst entwickelte Unikate und daher leichter angreifbar. Daher lässt mittlerweile die Hälfte die befragten Unternehmen laut Veracode die gekaufte Software von On-Demand-Services testen.
35 Prozent der Unternehmen erwarten keinen ausreichenden Schutz vom Hersteller und nehmen den Test selbst in die Hand, um sich einen Hersteller-unabhängigen Schutz zu sichern. Ein Viertel der Unternehmen setzten auf die Tests von beiden Seiten.