SANS-Studie: Anwendungen werden zu wenig getestet
Softwareentwicklung wird zunehmend kleinen und agilen Teams übertragen, die innerhalb kurzer Zeit lauffähige Anwendungen und Updates bereitstellen können. Fast die Hälfte (43 Prozent) der Unternehmen veröffentlichen wöchentlich oder täglich neue Anwendungen, Updates oder Features. Das bringt entsprechende Herausforderungen für die IT-Sicherheit mit sich, wie die SANS-Studie zeigt.
61 Prozent der Studienteilnehmer der Studie State of Application Security 2017 des SANS Institutes gaben an, dass Sicherheitsverstösse öffentliche Webanwendungen involvieren oder von diesen verursacht werden. Das Problem der Anwendungssicherheit entsteht, weil Sicherheitstests noch kein fester Teil der rasanten Entwicklungs- und Updatezyklen sind – oft fehlt die Zeit für die Tests. Allerdings benötigen gerade gute Sicherheitstests ausreichend Zeit, um verlässliche Ergebnisse zu erzielen. „Die Geschwindigkeit der Softwareentwicklung nimmt zu und die Technologien, mit denen Unternehmen ihre Geschäfte unterstützen, werden immer vielfältiger”, sagt Jim Bird, SANS Analyst und Verfasser des Studienberichts. „Gemeinsam verändern diese Variablen das Denken und Arbeiten von Entwicklungsteams und ihren Sicherheits- und Risikomanagement-Teams radikal.“
Kontinuierliche Sicherheitstests sind selten
Die Sicherheit der genutzten Anwendungen in den Unternehmen wird zu oft vernachlässigt. Lediglich 12 Prozent der Befragten sagen, dass ihr Unternehmen kontinuierlich Sicherheitstests durchführt. Demgegenüber steht mehr als ein Drittel der Befragten, deren Unternehmen ihre Anwendungen entweder höchstens einmal im Jahr testen (24 Prozent) oder gar keine regelmässigen Tests durchführen (10 Prozent). Unternehmen, die ihre Anwendungen regelmässig auf Schwachstellen untersuchen, nutzen dafür oft automatisierte Code-Prüfungen oder statische Sicherheitstests (54 Prozent), die sich leicht in die schnellen Entwicklungszyklen integrieren lassen. Am beliebtesten sind allerdings interne Penetrationstests, die in 71 Prozent der befragten Unternehmen durchgeführt werden. 58 Prozent ziehen auch externe Anbieter für Penetrationstests hinzu.
Sicherheitstests benötigen mehr Austausch und neue Kenntnisse
Der Zeitmangel und die fehlende Integration von Sicherheitstests ist ein grosses Problem für die Anwendungssicherheit. Einer Lösung stehen einige Hürden entgegen. Ein gutes Drittel der Befragten (34 Prozent) gab an, dass es notwendig wäre, eine Brücke zwischen Softwareentwicklung, Sicherheit und Compliance zu etablieren.
31 Prozent sehen in der starken Trennung zwischen den Abteilungen eine Herausforderung. Die Befragten sagen, dass sich die Sicherheits- und Entwicklungsabteilung zu wenig austauschen und der Kontakt zu den anderen Abteilungen fehlt. Fast ein Viertel der Teilnehmer (24 Prozent) gab an, die Anwendungssicherheit nicht ausreichend finanziert wird und das Management sich zu wenig engagiert. Der gleiche Anteil unter den Befragten gab an, dass die richtigen Fertigkeiten, Methoden und Werkzeugen für Sicherheitstests fehlen.
Das Management muss den Nachholbedarf erkennen
Wie die SANS-Studie zeigt, gibt es systematische Probleme in der Anwendungssicherheit: Fest eingeplante Tests fehlen in den Entwicklungszyklen. Um diese zu etablieren, müssen allerdings die Entwicklungs-, Sicherheits- und andere Businessabteilung stärker zusammenarbeiten. Bedenklich ist, dass ein Viertel der Befragten sagt, dass Grundlagen wie aktuelle Fertigkeiten, Methoden und Werkzeuge fehlen. Hier muss das Management darauf achten, dass die richtigen Methoden und Werkzeuge bereitgestellt werden und die Fertigkeiten der IT-Sicherheitsmitarbeiter auf dem aktuellen Stand sind.
Die vollständige Studie finden Sie hier