Die Anwendungsentwicklung hat sich gewandelt und ist weitgehend automatisiert, doch die Sicherheit bleibt weiterhin ein hochgradig manueller Vorgang. Es gibt bis zu 100-mal mehr Entwickler und DevOps-Praktiker als Sicherheitsexperten. Der Druck hinsichtlich der Markteinführungszeit hat zu Reibereien zwischen Anwendungs- und Sicherheitsteams geführt und den Eindruck erweckt, dass die Sicherheit einen Engpass darstellt. Dies ist ein ernstes Dilemma, das häufig zu mangelhaften Tests, Prozessabkürzungen und ineffektiver Überwachung führt.

Gleichzeitig hat die zunehmende Verbreitung von Architekturen, Clouds und Drittanbieterintegrationen die Bedrohungsfläche für viele Unternehmen dramatisch vergrößert. Anwendungsschwachstellen wie Cross-Site-Scripting (XSS) und Injection sind seit den Anfängen der Anwendungssicherheit vor über 20 Jahren weit verbreitet, dennoch werden sie von Angreifern weiterhin in besorgniserregender Geschwindigkeit entdeckt und ausgenutzt. Angreifer nutzen Schwachstellen schnell als Waffe, indem sie Automatisierungsframeworks und KI-gestützte Tools verwenden, um das Internet zu scannen und Schwachstellen zu entdecken und auszunutzen, um sich finanziell zu bereichern. Insbesondere Open-Source-Software ist voller Schwachstellen, die unbekannte und erhebliche Risiken mit sich bringen.

F5 Labs meldet, dass alle 9 Stunden eine kritische Sicherheitslücke mit dem Potenzial zur Remotecodeausführung, einem der schwerwiegendsten möglichen Angriffe, veröffentlicht wird. Bis 2025 werden voraussichtlich in einer typischen Woche 500 neue CVEs veröffentlicht.

Um die zunehmende Komplexität der Anwendungssicherung über Architekturen, Clouds und Entwickler-Frameworks hinweg effektiv zu bewältigen, müssen Unternehmen ihre Strategie und ihre Perspektive ändern.

Das Open Web Application Security Project (OWASP) wurde im Jahr 2001 gegründet, um Führungskräfte und Vorstände von der Notwendigkeit eines effektiven Schwachstellenmanagements zu überzeugen. Ein disziplinierter Ansatz, der Sicherheitsanbieter und Community-Feedback einbezog, führte zu den OWASP Top 10 – einer Liste der häufigsten und kritischsten Anwendungsschwachstellen.

XSS und Injection waren seit ihrer Einführung in jeder OWASP-Top-10-Liste vertreten, aber eine neue Ära der Anwendungssicherheit ist gekennzeichnet durch die wachsende Bedrohung der Software-Lieferketten, die Allgegenwärtigkeit von Open-Source-Software und die betriebliche Komplexität der Verwaltung von Sicherheit und Zugriff sowohl für veraltete als auch für moderne Apps. Softwareupdates, wichtige Daten und die Integrität der CI/CD-Pipeline können gefährdet sein. Obwohl Open-Source-Software die Entwicklung deutlich beschleunigt, verändert sie auch das Risikomanagement, da Kontrollen, die bei intern entwickelter, individueller Software üblich sind, wie etwa die statische Codeanalyse (SCA), bei Software von Drittanbietern nicht immer möglich oder praktikabel sind.

Im Jahr 2021 begannen Angreifer fast unmittelbar nach der Veröffentlichung der Einzelheiten dieser Schwachstelle damit, eine kritische Schwachstelle in einer weit verbreiteten Open-Source-Softwarebibliothek auszunutzen, die von Tausenden von Websites und Anwendungen verwendet wird. Wird diese Sicherheitslücke nicht behoben, kann es zu einer Remote-Code-Ausführung kommen, wodurch Angreifer die Kontrolle über Websites und Online-Anwendungen übernehmen, Geld stehlen, Daten stehlen und Kundenkonten kompromittieren können.

F5 Labs beschreibt im Detail, wie sich die CVE-Landschaft in den letzten zwei Jahrzehnten erheblich verändert hat, wobei die Zahl und Vielfalt der Schwachstellen zugenommen hat. Während einige dieser Änderungen auf die technologische Entwicklung zurückzuführen sind, sind andere eine Auswirkung der Art und Weise der Datenerfassung.

Die rasante technologische Entwicklung verändert die Art und Weise, wie Unternehmen ihre Geschäfte abwickeln – und die Schritte, die sie unternehmen müssen, um die Sicherheit ihrer Unternehmen zu gewährleisten. Heute arbeiten 88 % der Organisationen mit einem Hybridmodell, das SaaS, Public Cloud/IaaS, On-Premises (traditionell), On-Premises (Private Cloud), Colocation und Edge umfasst . Diese Organisationen nutzen zunehmend KI, um sich die manuelle Feinabstimmung zu ersparen und die Erstellung von Sicherheitsrichtlinien auf Grundlage erkannter Bedrohungen zu automatisieren. Während Greenfield-Projekte von der Effizienz der Cloud profitieren können, umfassen die meisten Unternehmensportfolios sowohl veraltete als auch moderne Apps, die sich über eine Vielzahl von Architekturen in Rechenzentren, Clouds und innerhalb von Microservices erstrecken.

Die explosionsartige Zunahme an Anwendungen und die schnelle Markteinführung führen auch zu grundlegenden Änderungen im Risikomanagement. Netzwerkingenieure stellen möglicherweise keine Infrastruktur bereit. DevOps-Teams können mithilfe neuer Architekturen wie Containern in einer schlüsselfertigen Cloud-Lösung problemlos virtuelle und flüchtige Infrastrukturen erstellen und dabei alles vom Code-Build bis zur Service-Bereitstellung automatisieren. Bei diesen Änderungen der Rollen, Verantwortlichkeiten und Arbeitsweisen im Anwendungsentwicklungszyklus kann es häufig vorkommen, dass die Sicherheit auf der Strecke bleibt.

Gleichzeitig gehen die Angreifer immer effizienter vor. Sie nutzen leicht verfügbare Tools und Frameworks, um ihre Angriffe zu skalieren. Im Wesentlichen verwenden sie dieselben Methoden, die auch Sicherheitsexperten zur Quantifizierung und Bewertung von Risiken nutzen.

Darüber hinaus nutzen Unternehmen zur Aufrechterhaltung der Geschäftskontinuität zunehmend die Dienste mehrerer Cloud-Anbieter. Darüber hinaus erleben Unternehmen zunehmend eine Tool-Ausuferung durch ihre Bemühungen, spezifische Bedürfnisse über mehrere Cloud-Umgebungen hinweg zu erfüllen . Dies führt bei den für die Sicherheit Verantwortlichen häufig zu Verwirrung darüber, was gesichert ist und was nicht. Und die Nuancen können zu einer Schwachstelle führen – häufig zu einer falschen Sicherheitskonfiguration ( siehe beispielsweise das AWS-Modell der geteilten Verantwortung ).

Aufgrund der Art und Weise, wie Anwendungen erstellt und bereitgestellt werden, verlagern sich die Risiken. Deshalb sind Veränderungen in der Sicherheit erforderlich, um neuen Anwendungsschwachstellen immer einen Schritt voraus zu sein. Sichtbarkeit und Konsistenz sind so wichtig wie eh und je, doch Unternehmen brauchen einen Paradigmenwechsel bei der Implementierung der Anwendungssicherheit. Anstatt nach dem Start einer Anwendung eine Sicherheitsrichtlinie zu erstellen, Fehlalarme zu prüfen, um die Richtlinie zu stabilisieren und zu optimieren, und dann nach neu aufgetretenen Sicherheitslücken zu suchen, die die App gefährden könnten, muss die Anwendungssicherheit unabhängig von Architektur, Cloud oder Framework untrennbar in den Lebenszyklus der Anwendungsentwicklung integriert werden – vom Code über die Tests bis hin zur Produktion.

Durch Penetrationstests lassen sich kritische Risiken aufdecken, bevor die Software in Produktion geht. Außerdem lässt sich die Zeit bis zur Risikominderung dadurch drastisch verkürzen, indem den Sicherheitsteams wichtige Erkenntnisse geliefert werden, die sie dann in die Implementierung kritischer Notlösungen, beispielsweise Richtlinien für Web Application Firewalls, einbinden.

Die effektivste Anwendungssicherheit ist automatisiert, integriert und adaptiv. Durch Automatisierung können die Betriebsausgaben (OpEx) gesenkt und die Belastung kritischer Sicherheitsressourcen während der Anwendungsfreigabe, Bereitstellung und Wartung verringert werden. Die automatische Richtlinienbereitstellung kann die Effektivität verbessern, indem Sicherheitskontrollen früher im Softwareentwicklungszyklus (SDLC) implementiert und stabilisiert werden. Dies führt zu einer höheren Effizienz bei weniger manuellen Eingriffen und befreit InfoSec von einer Flut von Warnmeldungen und potenziellen Fehlalarmen, sodass sich das Team auf strategischere Risikomanagementbemühungen konzentrieren kann. Durch die native Integration in Anwendungsentwicklungs-Frameworks und Pipelines für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) werden Reibungsverluste zwischen Entwicklungs- und Sicherheitsteams verringert, was zu einer besseren Geschäftsflexibilität und organisatorischen Ausrichtung führt.

Die Integration in Entwicklertools durch API-gesteuerte Bereitstellung und Wartung vereinfacht die Richtlinienverwaltung und Änderungskontrolle über mehrere Architekturen und Clouds hinweg, indem sie die Komplexität der Infrastruktur abstrahiert, den Betriebsaufwand reduziert und Fehlkonfigurationen verhindert.

Darüber hinaus sollten Sicherheitsmaßnahmen präzise und robust sein, um Kunden nicht zu verärgern oder Angreifern die Möglichkeit zu geben, ihre Kampagnen zu eskalieren und so einer Erkennung zu entgehen. Verbraucher fordern personalisierte, kuratierte Erlebnisse und raffinierte Angreifer lassen sich nicht so leicht abschrecken.

Effektive Sicherheit, die die Benutzerfreundlichkeit nicht beeinträchtigt, kann in einer hart umkämpften digitalen Wirtschaft ein entscheidendes Differenzierungsmerkmal für die Gewinnung und Bindung von Kunden sein. 

Heutzutage sind Apps das A und O. Daher stellen Bedrohungen für Apps und unzureichende Sicherheit die größten Risiken für das Geschäftspotenzial dar. Moderne, dezentrale Anwendungsarchitekturen haben die Angriffsfläche vergrößert, die Automatisierung hat unbeabsichtigte Risiken und die Effektivität der Angreifer erhöht und die Folgen der Cyberkriminalität nehmen weiter zu. Dennoch können Unternehmen, die durchgehend sichere digitale Erlebnisse bieten, Zuwächse bei ihren Kunden und Umsätzen verzeichnen.

Die Lösung ist klar. Anstatt die Veröffentlichung neuen Codes, der die Welt verändern könnte, zu verzögern, sollten Sie die Sicherheit nach links verlagern, um den Schutz während des gesamten Anwendungslebenszyklus zu automatisieren und die Perspektive der Sicherheit als wichtiges Differenzierungsmerkmal für Ihr Unternehmen zu ändern.

Indem Sie Schwachstellen proaktiv beheben, die Komplexität reduzieren und Ihr Unternehmen mit wirksamen und einfach zu handhabenden Sicherheitsmaßnahmen schützen, können Sie die digitale Transformation beschleunigen und das Kundenerlebnis optimieren – und so Risiken verringern und digitale Wettbewerbsvorteile schaffen.