Mängel an Applikationen
Entwickler schludern bei der IT-Sicherheit
23.12.2010
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Mehrere Techniken beim Security-Testing
CIOs bzw. CISOs (= Chief Information Security Officer) sollten Sicherheitstests bei neu ausgelieferten Anwendungen gleichzeitig anhand verschiedener Methoden durchführen lassen. Möglich ist beispielsweise die Verknüpfung statischer Analysen ausführbarer Binärdateien mit manuellen Penetrationstests, etwa nach der OWASP-Top-10-Liste oder der CWE/SANS-Top-25-Liste. Welche Techniken jeweils eingesetzt werden, hängt zum einen vom Typ der Anwendung ab, zum anderen von deren Kritikalität.
Für die Untersuchung hat der US-Sicherheitsspezialist mehr als 2.900 Business-Applikationen, die seine Kunden einsetzen, über einen Zeitraum von 18 Monaten untersucht.