Bedrohungsprofil verringern Mehr Geld für die App-Sicherheit

Autor: Ira Zahorsky

Apps sollen für positive Kundenerfahrungen sorgen. Um sich von Mitbewerbern abzuheben, setzen auch Einzelhändler inzwischen auf Apps. Jedoch werden diese Softwarelösungen selten in das IT-Sicherheitskonzept der Unternehmen mit eingebunden.

Firmen zum Thema

Wenn es um die Sicherheit der eigenen Apps geht, sind Unternehmen sparsam.
Wenn es um die Sicherheit der eigenen Apps geht, sind Unternehmen sparsam.
(Bild: Wellnhofer Designs - stock.adobe.com)

Laut einer Studie von NTT finden inzwischen mehr als die Hälfte der weltweit festgestellten Cyberattacken im Bereich Anwendungen statt. Doch nur sechs Prozent des Sicherheitsbudgets der Unternehmen fließen in deren Absicherung. NTT erläutert, wie Unternehmen die App-Sicherheit verbessern können.

„Ein ganzheitliches Programm für den Test der Anwendungssicherheit ist eine wichtige präventive und proaktive Technik, die dazu beitragen kann, das gesamte Bedrohungsprofil eines Unternehmens zu verringern“, ist Craig Hinkley, CEO der Abteilung Application Security bei NTT, überzeugt.

ABC-Risiken

Zuerst hat NTT drei Risikokategorien identifiziert, die sich mit der Abkürzung „ABC“ merken lassen:

  • Assemble: Komponenten, die die Grundlage von Anwendungen bilden, wie Betriebssystempakete, Frameworks und Bibliotheken, werden kombiniert.
  • Build: Funktionen ohne Security by Design oder geeignete Sicherheitskontrollen werden implementiert.
  • Configure: Anwendungen werden bereitgestellt, um neue Funktionen zu aktivieren, ohne die Standardeinstellungen abzusichern und frühere Entwicklungskonfigurationen weiterzuentwickeln.
Anwendungen werden immer mehr zum Ziel von Angriffen, und dies sollte sich in den Ausgaben der Unternehmen für IT-Sicherheit widerspiegeln.

Craig Hinkley, NTT

DAST, SAST, SCA

Mit ebenfalls drei Verfahren lässt sich die App-Sicherheit in den Risikokategorien verbessern. Über das Dynamic Application Security Testing (DAST) wird ein Hackerangriff simuliert. Ein gängiges Tool ist ein Schwachstellen-Scanner. Dieser untersucht die Benutzeroberfläche, indem er manipulierte Angriffe an den Server schickt, um die Funktionsweise des Backend-Servers zu ermitteln und Anfälligkeiten aufzudecken. Den NTT-Experten zufolge wird das DAST effektiver, wenn es automatische mit manuellen Tests kombiniert.

Der Quellcode einer Anwendung kann per Static Application Security Testing (SAST) untersucht werden. Die automatische Analyse erkennt Implementierungsfehler und kann in drei Typen unterteilt werden. Die sogenannten „Code-Scanner“ – Mustervergleiche, semantische Analyse und Laufzeitsimulation – bieten unterschiedliche Leistungen.

Die Software Composition Analysis (SCA) kontrolliert den Technologie-Stack. Dadurch sollen öffentlich bekannte Schwachstellen und Lizenzrisiken erkannt und über einen Patch- oder Upgrade-Pfad behoben werden.

(ID:47644763)

Über den Autor

 Ira Zahorsky

Ira Zahorsky

Redakteurin und Online-CvD, IT-BUSINESS