Sechs Mythen gefährden die Applikationssicherheit
(IINews) - ISMANING, Deutschland, 10. September 2019 - Nichts ist wichtiger als die Sicherheit Business-kritischer Applikationen. Im Schadensfall gelangen Daten in unbefugte Hände, die Reputation leidet und enttäuschte Kunden wechseln zur Konkurrenz. Trotzdem ergreifen Manager und IT-Verantwortliche nicht die notwendigen Sicherheitsmaßnahmen, kritisiert René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security. Der Sicherheitsexperte entzaubert sechs irreführende, weit verbreitete Mythen, die die Sicherheit jedes Unternehmens gefährden.
Die Gefährdungslage der IT verschärft sich zunehmend und ist zudem vielschichtiger geworden. Erfolgt ein Angriff, verhindern Unternehmen mit bestehenden Schutzmaßnahmen zwar meist einen größeren Schaden. Wie sie die Sicherheit ihrer Applikationen aber weiter signifikant erhöhen können, erklärt Bader in den folgenden sechs Mythen.
Mythos 1: Cyberkriminelle attackieren die Infrastruktur, Applikationen stehen kaum im Fokus
Dieser Mythos ist leider ein weit verbreiteter Irrglaube. Untersuchungen (www.nttsecurity.com/GTIR2019-DE) haben ergeben, dass mehr als die Hälfte aller Angriffe über das Applikations-Layer erfolgen. Das siebte OSI-Layer, die Anwendungsschicht, wird durch klassische Firewalls aber gar nicht geschützt. Empfehlenswert ist, kritische Geschäftsanwendungen durch eine Application Firewall zu schützen, die Input, Output und Zugriffe auf externe Dienste kontrolliert und gegebenenfalls blockiert, wenn sie nicht der in der Application Firewall konfigurierten Policy entsprechen.
Applikationssicherheit setzt aber bereits bei der Entwicklung der Software an. Anwendungsprogrammierer sollten Best Practices folgen und erwiesenermaßen unsicheren Code und gefährdungsanfällige Programmierkonstrukte nicht mehr verwenden, damit Schwachstellen gar nicht erst entstehen können. Im gesamten Application Lifecycle spielt außerdem ein zeitnah durchgeführtes Patch-Management eine sehr wichtige Rolle (siehe Mythos 5).
Mythos 2: Penetrationstests reichen aus, die Anwendung ist sicher
Die meisten IT-Spezialisten glauben, dass ein erfolgreich absolvierter Penetrationstest die Sicherheit einer Anwendung nahezu garantiert. Das gilt für einfache Apps, aber nicht für komplexe Anwendungen, die viel Business- und Prozess-Logik enthalten. Komplexe Applikationen mit vielen Stakeholdern sind durch Penetrationstests gar nicht vollständig austestbar. Entwicklungs-, Beschaffungs- oder Freigabeprozesse, an denen mehrere Geschäftseinheiten beteiligt sind, sollten deshalb unbedingt zusätzliche Security-Maßnahmen durchlaufen. NTT Security empfiehlt, sich an Software-Reifegradmodellen wie OpenSAMM zu orientieren, die Unternehmen helfen, eine auf ihr Geschäftsmodell abgestimmte Sicherheitsstrategie für Business-kritische Applikationen aufzusetzen.
Besondere Aufmerksamkeit benötigen selbst entwickelte Applikationen. Ein Beispiel: Über 70 Prozent der SAP-Funktionalitäten werden von den Kunden selbst programmiert. Der Hersteller übernimmt für Eigenentwicklungen aber keine Sicherheitsgarantie. Die mithilfe von Reifegradmodellen wie OpenSAMM aufgestellten Sicherheitsmaßnahmen sind deshalb bei eigener Software, für die der Kunde selbst die Verantwortung trägt, besonders wichtig.
Mythos 3: Sicherheitstools erledigen den Job, dann haben Cyberangreifer keine Chance
Viele Unternehmen verlassen sich zu sehr auf ihre Sicherheitstools, zum Beispiel auf das Patching oder das Konfigurationsmanagement. Tools sind wichtig, aber nur die halbe Miete. In der IT ist heute alles mit allem vernetzt. Die einzelnen Geschäftseinheiten aber sprechen zu wenig miteinander. Sicherheitsexperten, die auf eine ganzheitliche Sicherheitsstrategie achten, sollten bei jeder Neueinführung und bei jeder wichtigen Entscheidung mit am Tisch sitzen. Sonst benutzt jede Abteilung unkoordiniert ihre eigenen Tools und am Ende gibt es bei einem Sicherheitsvorfall viele enttäuschte Gesichter.
Mythos 4: Jeder Mitarbeiter ist für die Sicherheit selbst verantwortlich
Die gefährlichste Schwachstelle in Unternehmen sind die eigenen Mitarbeiter, betonen Sicherheitsexperten. Wichtig ist deshalb, durch regelmäßige Schulungen bei den Mitarbeitern ein Risikobewusstsein zu schaffen und über die aktuellen Angriffsvektoren zu informieren. Schulungen schließen nicht aus, dass sich Cyberkriminelle durch Social-Engineering-Techniken wie personalisierte Phishing-Mails Zugang zu sensiblen Daten verschaffen, aber sie erhöhen die Awareness und verringern das Risiko. Es gilt, sich jeden Klick auf ein Mail-Attachement zweimal zu überlegen und den gesunden Menschenverstand einzusetzen.
Mythos 5: Sicherheitspatches aufzuspielen dauert Stunden und Systeme sind nicht nutzbar
Im Durchschnitt stehen gefährdete, ungepatchte Applikationen mehrere hundert Tage im Netz, obwohl Schwachstellen bekannt sind und Cyberkriminelle jederzeit einen Angriff starten könnten. Das größte Sicherheitsleck für Applikationen sind ungepatchte Bibliotheken, so der Application Security Statistics Report 2018 (1) von WhiteHat, einem Tochterunternehmen von NTT Security. Grund für dieses fahrlässige Verhalten ist der in vielen Firmen verbreitete Irrglaube, dass IT-Systeme beim Aufspielen von Sicherheitspatches ausfallen und nicht nutzbar sind: Kunden können möglicherweise Bestellsysteme nicht aufrufen, Mitarbeiter drehen Däumchen und dem Unternehmen entgehen dadurch Einnahmen.
Diese Annahme ist falsch. Sicherheitspatches können heute entweder im laufenden Betrieb aufgespielt werden oder bedingen nur eine kurzzeitige Abschaltung einzelner Komponenten. Eine weitere Alternative besteht darin, das nächtliche Wartungsfenster für die Patches zu nutzen.
Mythos 6: Wenn man gehackt wurde, ist nichts mehr zu machen
Einfacher gesagt als getan: Im Angriffsfall sollten Unternehmen auf jeden Fall Ruhe bewahren und durch unüberlegte Kurzschlussreaktionen nicht noch mehr Schaden anrichten. Es gibt Unternehmen, die nach einem Angriff den Netzstecker gezogen und dadurch die Festplatten-Controller zerstört haben. Für die Forensiker war es nicht mehr möglich, den Angriff zu rekonstruieren und im Nachhinein die Angriffsvektoren zu identifizieren. Ziel sollte sein, so viele Beweise und Daten wie möglich zu sammeln und schnellstmöglich die Hilfe professioneller Sicherheitsexperten einzuholen.
„Ein einziger, erfolgreich absolvierter Penetrationstest reicht nicht aus, um die Sicherheit von Applikationen zu gewährleisten. Das ist ein fahrlässiger Irrglaube. Meines Wissens gibt es keinen Penetrationstest, der nicht ein oder zwei kritische Schwachstellen aufweisen würde“, betont Bader und empfiehlt, sich an Reifegradmodellen zum Thema Applikationssicherheit wie OpenSAMM zu orientieren.
„Oft werden Sicherheitspatches nicht aufgespielt, weil dann angeblich Business-kritische Systeme wie Produktion oder Vertrieb für eine bestimmte Zeit ausfallen. Firmen gehen damit ein unkalkulierbar hohes Risiko ein“, berichtet Bader weiter. „Patches lassen sich aber auch im laufenden Betrieb aufspielen. Viele unserer Kunden machen das, vermeiden die Ausfallzeiten und es funktioniert sehr gut.“
(1) https://info.whitehatsec.com/Content-2018StatsReport_LP.html?utm_source=website&utm_medium=Website-Content-Ongoing-2018StatsReport
Diese Presseinformation und Bilder in höherer Auflösung können unter www.pr-com.de/nttsecurity abgerufen werden.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Über NTTs Security-Sparte
Wir sind der auf Sicherheit spezialisierte Unternehmensbereich und das „Security Center of Excellence“ der NTT. Mit „Embedded Security“ ermöglichen wir NTT die Bereitstellung zuverlässiger Business-Lösungen für Kundenanforderungen in der digitalen Transformation. NTT Security verfügt über mehrere SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 2.000 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle.
Über NTT Ltd.
NTT Ltd. ist ein führendes, weltweit tätiges IT-Dienstleistungsunternehmen, das 28 Technologieunternehmen, darunter NTT Communications, Dimension Data und NTT Security, vereint. Wir arbeiten mit Unternehmen auf der ganzen Welt zusammen, um durch intelligente Technologielösungen Ergebnisse zu erzielen. Intelligent bedeutet für uns datengesteuert, vernetzt, digital und sicher.
Als globaler IKT-Provider beschäftigen wir mehr als 40.000 Mitarbeiter an vielfältigen und modernsten Arbeitsplätzen in 57 Ländern. Wir agieren in 73 Ländern und erbringen Dienstleistungen in mehr als 200 Ländern. Gemeinsam ermöglichen wir die vernetzte Zukunft. Besuchen Sie uns unter www.hello.global.ntt
NTT Security
Romy Däweritz
Marketing Manager DACH
Tel.: +49 89 945730
romy.daeweritz(at)global.ntt
PR-COM GmbH
Franziska Fricke
Account Manager
Tel.: +49 89 59997 707
franziska.fricke(at)pr-com.de
Datum: 10.09.2019 - 16:20 Uhr
Sprache: Deutsch
News-ID 1752084
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Franziska Fricke
Stadt:
Ismaning
Telefon: +49 89 59997-707
Kategorie:
Internet
Anmerkungen:
Dieser Fachartikel wurde bisher 174 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Sechs Mythen gefährden die Applikationssicherheit
"
steht unter der journalistisch-redaktionellen Verantwortung von
NTT Security (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).