Wie Ihre Anwendungen Sie verwundbar machen

Ihre Webanwendungen - Sie lieben sie. Sie sorgen für loyale Kunden und steigern die Produktivität Ihrer Mitarbeiter. 

Aber können Sie ihnen auch vertrauen? Nein. 

Während Sie noch verfolgen, wie lange es dauert, Ihre Applikationen auf den Markt zu bringen, wie gut deren Performance ist und ob die Kunden sie auch tatsächlich nutzen werden, rutscht etwar anderes unter dem Radar durch: Sicherheit. Gerade die Anwendungen, von denen Ihr Geschäft abhängt, weisen Schwachstellen auf, die Ihr Unternehmen in Gefahr bringen.

Wir sprechen hier nicht über kleine Fehler, die nur Cyberkriminelle mit den ausgefeiltesten Techniken ausnutzen können, um Schaden anzurichten. Auch wenn solche Angriffe für Schlagzeilen sorgen - andere Szenarien sind weitaus wahrscheinlicher.

Gerade die Anwendungen, von denen Ihr Geschäft abhängt, weisen Schwachstellen auf, die Ihr Unternehmen in Gefahr bringen.

Nein, es geht hier um die „uninteressanten“ 08/15-Schwachstellen, die Hacker buchstäblich im Autopilot-Modus ausnutzen. Während Sie das hier lesen, startet gerade ein Hacker einen automatisierten Websites-Scan, bevor er kurz einen Kaffee trinken geht. Und wenn er zurückkommt, wartet bereits eine lange Liste mit potenziellen Zielen auf ihn. Die zehn häufigsten Schwachstellen - in Hackerkreisen wohlbekannt - sind für 85 Prozent aller erfolgreichen Attacken verantwortlich. Ihr Unternehmen könnte leicht ein Opfer sein.

<40%

Weniger als 40 Prozent der selbstentwickelten Anwendungen erfüllen die Sicherheitsanforderungen.

Ihre Brieftasche würden Sie nicht einfach so herumliegen lassen. Mit ihren Applikationen verfahren viele Unternehmen aber genau so. Über diese drei wunden Punkte können Hacker das ausnutzen:

1. Ihre Anwendungen sind auf der Codeebene unsicher.

Es ist erheblich einfacher, Entwickler zu schulen und Problemen vorzubeugen als Fehler zu beheben, wenn die Anwendungen schon in den Händen der Nutzer sind. Und doch halten nur wenige Unternehmen sichere Codierpraktiken ein.

Für eine Studie wurde das Wissen von Anwendungsentwicklern über grundlegende Sicherheit getestet. Die Mehrheit fiel dabei durch. Das überrascht allerdings nicht, da die Hälfte von ihnen während ihrer Laufbahn weniger als einen Tag Schulung zu Sicherheitsfragen erhalten hatten. Warum aber so wenig Schulung? Das Management finanziert typischerweise andere Prioritäten.

2. Schwachstellen in Apps werden nicht rechtzeitig erkannt.

Jede Woche wird eine neue Zero-Day-Schwachstelle entdeckt,  so Symantec. Auch wenn sichere Codiertechniken ein guter Anfang sind: Ein Allheilmittel sind sie nicht. Auch bei sicherer Codierung gibt es immer wieder Fehler. Was also tun? Finden Sie die Schwachstellen, bevor die Hacker es tun. Das bedeutet: Testen, testen, testen.

Laut Veracode erfüllten weniger als 40 Prozent der selbstentwickelten Anwendungen beim ersten Test die Sicherheitsanforderungen. Anwendungen, die von Drittanbietern entwickelt wurden, schnitten noch schlechter ab - nur 28 Prozent bestanden den Test. Daher: Testen Sie und beheben Sie die Fehler. Und wiederholen Sie das Ganze. Dafür gibt es eine ganze Reihe von Tools. In Kombination mit sicheren Codiertechniken senkt das Schwachstellen-Testing Ihr Risiko erheblich.

3. Sie beheben bekannte Schwachstellen nicht schnell genug.

WhiteHat Security zufolge braucht mehr als die Hälfte aller Unternehmen 200 Tage und mehr, um Sicherheitslücken zu schließen. Zwei Drittel davon beheben nur 40 Prozent der Schwachstellen, die sie entdecken. Dieses Verwundbarkeitsfenster - mehr als sechs Monate - lässt Hackern genug Zeit, sensible Daten zu stehlen, zu veröffentlichen oder zu korrumpieren, die Anwendung zu manipulieren oder weiteren Schaden anzurichten.

Die beste Strategie

Installieren Sie eine Web Application Firewall (WAF), um Zeit zu gewinnen, während Sie Ihre Anwendungen in Ordnung bringen. Eine WAF ist eine Firewall auf Hardware- oder Softwarebasis, die speziell darauf ausgelegt ist, Exploits von Web-Traffic (HTTP/S) und Webanwendungen abzublocken. Viele WAFs lassen sich mit Scan-Diensten integrieren, die nach Schwachstellen in Webanwendungen suchen. So können automatisiert Patches für Sicherheitslücken in den Anwendungen eingespielt werden. Sie können auch eine WAF-as-a-Service mieten, um die nicht zu vernachlässigende Belastung durch das Management der WAF an einen kompetenten Drittanbieter auszulagern.

Und noch etwas…

Geben Sie Ihr IT-Budget eigentlich sinnvoll aus? Webanwendungen, die öffentlich zugänglich sind, sind eine Hauptursache für Einbrüche - so das SANS Institute in seinem  2016 Report on Application Security.  Trotzdem gibt mehr als die Hälfte der Unternehmen (51 Prozent) nur ein Prozent Ihres IT-Budgets oder sogar weniger für Anwendungssicherheit aus. Entweder das oder sie können nicht einmal beziffern, wie viel sie ausgeben.

Das ist ernüchternd.

Ihre Anwendungen stehen in den Hackerkriegen an vorderster Front. Doch wenn Sie ausreichend Budget für deren Schutz bereitstellen und sich um die drei beschriebenen Punkte kümmern, senken Sie Ihr Gesamtrisiko schon erheblich.