Sichere Applikationen – aber wie?
Sichere Anwendungen brauchen mehr als Software-Codes
Nicht einmal die Häfte führt Sicherheitstests durch
Doch nicht einmal die Hälfte, nämlich 43 Prozent, führt Sicherheitstests durch, um die Risiken von Security Bugs oder Defekten in Anwendungen zu minimieren, wie die Studie "The State of Application Security" des Ponemon Institute vom Sommer 2013 belegt. Und nur 42 Prozent unterziehen demnach ihre Anwendungen manuellen Penetrationstests.
Mauchers Rat: "In der Regel hilft eine Konsolidierung auf wenige Frameworks, die gleichzeitig auch Sicherheitsmethoden zur Verfügung stellen oder eine gewisse Stringenz im Entwicklungsprozess fordern, sodass die Entwickler Sicherheitsthemen nicht ausgrenzen können."
Die Festlegung auf sichere Technologien, dazu gehören auch Entwicklungssprachen und -tools sowie Tools für Security Code Reviews, ist somit ein wesentlicher Schritt zur sicheren Anwendungsentwicklung. Für Maucher ist es somit trotz aller Diskussionen keine Frage, dass Entwickler für die Sicherheit ihres Codes Verantwortung übernehmen müssen.
Security-Governance ist mehr als ein IT-Infrastruktur-Thema
Ein weiterer Bestandteil ist für Maucher das Thema Governance, also die Steuerung. "In vielen Unternehmen ist das Thema Sicherheit in der IT traditionell ein Infrastrukturthema. Damit sind dann auch häufig die Security-Rollen stärker an der Infrastruktur ausgerichtet - und die Anwendungsentwicklung ist davon ausgenommen.
In dem Fall sollte man sich überlegen, wie man ein organisatorisches Bindeglied zwischen diesen beiden Welten schaffen kann, damit Sicherheit im gesamten Application Lifecycle, also auch in späteren Projekten, immer gewährleistet ist."
Schließlich dürfe nicht vergessen werden, alle Experten im Unternehmen, die an der Anwendungsentwicklung beteiligt sind, regelmäßig und individuell im Hinblick auf Security zu schulen: Das betrifft neben den Softwareentwicklern die Mitarbeiter im Einkauf sowie die Mitarbeiter im Demand Management, die Aufträge aus dem Business bereits auf die Sicherheitsbelange im Unternehmen abklopfen sollten.
"Schulungen für das Management darf man nicht vergessen, denn auch die Führungskräfte sollten für das Thema sensibilisiert sein", mahnt Maucher. "Und auch Mitarbeiter, die im Lenkungsausschuss von Entwicklungsprojekten sitzen, müssen bei entsprechenden Projektfreigaben wissen, welche Verantwortung sie bei der Überprüfung von Quality Gates im Hinblick auf Sicherheitsthemen haben. Das heißt, die Kommunikation muss quer durch das gesamte Unternehmen gehen. Denn es müssen wirklich alle einfangen sein, die am gesamten Applikationsentwicklungsprozess beteiligt sind."