Application Security as a Service Sichere Anwendungen als Dienst am Kunden

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Andreas Bergler

Security by Design wirkt wie ein Wunschtraum, denkt man an die Schwachstellen in geschäftskritischen Applikationen. So ist Application Security gefragter denn je. Systemhäuser müssen keine Top-Entwickler an Bord haben, um sicher entwickelte Apps zu verkaufen.

Firmen zum Thema

Der globale Markt für dynamische Anwendungssicherheitstestsoftware soll ein nachhaltiges Wachstum verzeichnen, so die Studie „Dynamic Application Security Testing Software Market Analysis and Forecast“ von LP Information.
Der globale Markt für dynamische Anwendungssicherheitstestsoftware soll ein nachhaltiges Wachstum verzeichnen, so die Studie „Dynamic Application Security Testing Software Market Analysis and Forecast“ von LP Information.
(Bild: Périg MORISSE_AdobeStock.com)

76 Prozent der Anwendungen weisen mindestens eine Schwachstelle auf, die Hälfte davon ist sechs Monate nach der Entdeckung immer noch offen. Der 11. State of Software Security Report von Veracode zeigt sehr deutlich, dass Applikationssicherheit weiterhin lückenhaft ist. Dabei geht es nicht um Sicherheitslücken, die durch den Einsatz neuer Technologien wie KI in Anwendungen Einzug gehalten hätten. Es sind fast immer die gleichen Fehler, die Applikationen unsicher machen, wie zum Beispiel die Top 10 Web Application Security Risks von OWASP (Open Web Application Security Project) regelmäßig zeigen. Das macht es möglich, nach solchen Fehlern auch automatisiert zu suchen.

Verfahren und Lösungen in der Application Security sollen generell dabei helfen, dem Ziel Security by Design näher zu kommen, indem die Anwendungsentwicklung in Fragen der Sicherheit unterstützt wird. Gelingt dies nicht, hilft Applikationssicherheit nachträglich dabei, Schwachstellen auf­zuspüren und zu beheben oder die Ausnutzung der Sicherheitslücken in den Anwendungen zu verhindern.

 

Bedarf an Applikationssicherheit wächst

Das Budget für Application Security wird dieses Jahr weltweit um mehr als zwölf Prozent im Vergleich zu 2020 wachsen, erwarten die Marktforscher von Gartner. Gerade in kritischen Bereichen wie dem Gesundheitswesen gibt es viel zu tun. „Krankenhäuser und Gesundheitssysteme werden von Cyberkriminellen als weiche Ziele angesehen, da sie oft nicht über das Budget oder das Personal verfügen, um sich vor Angriffen zu schützen“, sagte Chris Wysopal, Mitbegründer und Chief Technology Officer bei Veracode. Im Jahr 2020 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen auf 7,1 Millionen US-Dollar, etwa das Doppelte wie in anderen Sektoren.

Nicht nur in der Gesundheitsbranche mangelt es sowohl an Entwicklern als auch an Sicherheitsfachkräften. Alleine die Vorgabe, ­Security by Design umzusetzen, reicht deshalb nicht. Benötigt werden auch Dienstleistungen wie Application Security as a Service.

 

Application Security Tests (ASTs) als Service

Ein Beispiel, wie ein Service konkret dabei hilft, Schwachstellen in Applikationen aufzuspüren, am besten bevor es Angreifer tun, ist Automated Penetration Testing von Contrast Security. „Penetrationstester sind gezwungen, Zeit damit zu verbringen, gängige Schwachstellen zu identifizieren, die mit einem automatisierten Tool ebenso leicht erkannt werden können“, so das ­Argument von Contrast Security für automatisierte Security-Dienste. „Wir glauben, dass Partner eine Erweiterung unseres Teams sind, und wir sind immer auf der ­Suche nach Partnern, die unsere Leidenschaft teilen“, so der Anbieter.

Fortify on Demand von CyberRes (Micro Focus) ist ein weiteres Beispiel für eine Lösung für Anwendungssicherheit, die Sicherheitstests für statische, dynamische, interaktive und mobile Anwendungen on demand anbietet.

 

Davon machen die Partner bereits Gebrauch. „Wir liefern vertrauenswürdig und bewährte geschäftskritische Software, die die digitale Welt am Laufen hält. Unser pragmatischer, disziplinierter, kundenorientierter Ansatz ermöglicht es den Kunden, auf dem sich schnell entwickelnden Markt von heute erfolgreich zu sein. Insbesondere bieten wir Sicherheitsdienstleistungen durch den Einsatz von Microfocus-Diensten wie Fortify On Demand an“, sagt der Anbieter von Security Services SecSI.

Partner gesucht

Doch der Markt bietet noch viele weitere Beispiele und Chancen für den Channel: Das Checkmarx Channelprogramm ermöglicht es den Partnern, umfassende AST-Lösungen anzubieten, die den Kunden dabei helfen, die Bereitstellung sicherer Software zu beschleunigen und mit der Geschwindigkeit von DevOps zu arbeiten, verspricht der Anbieter. Die Checkmarx Software „Security Platform“ kombiniert statische und interaktive Anwendungssicherheitstests, Software Composition Analysis (SCA) und Schulungen in Application Security für Entwickler.

Invicti Security, Anbieter von dynamischen und interaktiven Anwendungssicherheitstests, betont ebenfalls die Bedeutung der Partnerschaften: „Immer häufiger verlassen sich Unternehmen auf ihre vertrauenswürdigen Partner“, sagte John Andrews, Vice President of Global Channel for Acunetix and Netsparker bei Invicti Security. „Partner geben den Kunden zusätzliche Sicherheit, weil sie fundierte und integrierte Entscheidungen treffen, die auf die Sicherheitsstrategie des Kunden abgestimmt sind.“

Managed Services für Application Security wie Rapid7 InsightAppSec oder Checkmarx Managed Software Security Testing bieten auch Resellern eine gute Möglichkeit, die Chancen zu nutzen, die der lang gehegte Wunsch nach Security by Design mit sich bringt, und sie können sogar daran mitwirken, dass dieser Wunschtraum mehr und mehr Wirklichkeit wird. Und wer dabei hilft, Wunschträume zu erfüllen, darf auch gute Geschäfte machen.

(ID:47485294)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research