News

SANS-Studie zur Anwendungssicherheit zeigt: Anwendungen werden zu wenig getestet

- In den immer schnelleren Entwicklungszyklen der Anwendungen fehlt ein fester Platz für Sicherheitstests.
- 61 Prozent der Studienteilnehmer sagen, dass Sicherheitsverstöße öffentliche Webanwendungen involvieren.
- Die größten Hürden sind fehlende Kenntnisse, Methoden und Werkzeuge sowie das fehlende Engagement des Managements.

München – 11. Dezember 2017 - Softwareentwicklung wird zunehmend kleinen und agilen Teams übertragen, die innerhalb kurzer Zeit lauffähige Anwendungen und Updates bereitstellen können. Fast die Hälfte (43 Prozent) der Unternehmen veröffentlichen wöchentlich oder täglich neue Anwendungen, Updates oder Features, wie die Studie State of Application Security 2017 des SANS Institutes aufzeigt. Das bringt entsprechende Herausforderungen für die IT-Sicherheit mit sich.

61 Prozent der Studienteilnehmer gaben an, dass Sicherheitsverstöße öffentliche Webanwendungen involvieren oder von diesen verursacht werden. Das Problem der Anwendungssicherheit entsteht, weil Sicherheitstests noch kein fester Teil der rasanten Entwicklungs- und Updatezyklen sind – oft fehlt die Zeit für die Tests. Allerdings benötigen gerade gute Sicherheitstests ausreichend Zeit, um verlässliche Ergebnisse zu erzielen.

„Die Geschwindigkeit der Softwareentwicklung nimmt zu und die Technologien, mit denen Unternehmen ihre Geschäfte unterstützen, werden immer vielfältiger”, sagt Jim Bird, SANS Analyst und Verfasser des Studienberichts. „Gemeinsam verändern diese Variablen das Denken und Arbeiten von Entwicklungsteams und ihren Sicherheits- und Risikomanagement-Teams radikal.“

Kontinuierliche Sicherheitstests sind selten

Die Sicherheit der genutzten Anwendungen in den Unternehmen wird zu oft vernachlässigt. Lediglich 12 Prozent der Befragten sagen, dass ihr Unternehmen kontinuierlich Sicherheitstests durchführt. Demgegenüber steht mehr als ein Drittel der Befragten, deren Unternehmen ihre Anwendungen entweder höchstens einmal im Jahr testen (24 Prozent) oder gar keine regelmäßigen Tests durchführen (10 Prozent).

Unternehmen, die ihre Anwendungen regelmäßig auf Schwachstellen untersuchen, nutzen dafür oft automatisierte Code-Prüfungen oder statische Sicherheitstests (54 Prozent), die sich leicht in die schnellen Entwicklungszyklen integrieren lassen. Am beliebtesten sind allerdings interne Penetrationstests, die in 71 Prozent der befragten Unternehmen durchgeführt werden. 58 Prozent ziehen auch externe Anbieter für Penetrationstests hinzu.

Sicherheitstests benötigen mehr Austausch und neue Kenntnisse

Der Zeitmangel und die fehlende Integration von Sicherheitstests ist ein großes Problem für die Anwendungssicherheit. Einer Lösung stehen einige Hürden entgegen. Ein gutes Drittel der Befragten (34 Prozent) gab an, dass es notwendig wäre, eine Brücke zwischen Softwareentwicklung, Sicherheit und Compliance zu etablieren.

31 Prozent sehen in der starken Trennung zwischen den Abteilungen eine Herausforderung. Die Befragten sagen, dass sich die Sicherheits- und Entwicklungsabteilung zu wenig austauschen und der Kontakt zu den anderen Abteilungen fehlt. Fast ein Viertel der Teilnehmer (24 Prozent) gab an, die Anwendungssicherheit nicht ausreichend finanziert wird und das Management sich zu wenig engagiert. Der gleiche Anteil unter den Befragten gab an, dass die richtigen Fertigkeiten, Methoden und Werkzeugen für Sicherheitstests fehlen.

Das Management muss den Nachholbedarf erkennen

Wie die SANS-Studie zeigt, gibt es systematische Probleme in der Anwendungssicherheit: Fest eingeplante Tests fehlen in den Entwicklungszyklen. Um diese zu etablieren, müssen allerdings die Entwicklungs-, Sicherheits- und andere Businessabteilung stärker zusammenarbeiten. Bedenklich ist, dass ein Viertel der Befragten sagt, dass Grundlagen wie aktuelle Fertigkeiten, Methoden und Werkzeuge fehlen. Hier muss das Management darauf achten, dass die richtigen Methoden und Werkzeuge bereitgestellt werden und die Fertigkeiten der IT-Sicherheitsmitarbeiter auf dem aktuellen Stand sind.

Die vollständige Studie finden Sie hier.

Über das SANS Institute

Das SANS Institute wurde 1989 als Forschungs- und Weiterbildungseinrichtung gegründet. Das SANS Institute ist heute die renommierteste und größte Schulungs- und Zertifizierungsorganisation weltweit rund um das Thema Informationssicherheit. International anerkannte SANS Trainer unterrichten in insgesamt rund 60 verschiedenen Kursen auf mehr als 200 Live- und Online-Trainings-Veranstaltungen jährlich. Berufszertifizierungen bietet die angeschlossene GIAC Zertifizierung (Global Information Assurance Certification) an, insgesamt stehen derzeit 28 praxisorientierte technische IT-Security-Zertifizierungen zur Auswahl. Viele Ressourcen des SANS Institutes wie Informationen zu Konsensusprojekten, Forschungsberichte oder Newsletter sind kostenlos erhältlich. Zudem betreibt das Institute das Internet Storm Center, ein leistungsfähiges Frühwarnsystem, dass die Anzahl bösartiger sowie schädlicher Aktivitäten im Internet überwacht und meldet. Der Erfolg des SANS Institutes ist den einzigartigen Trainern, Experten auf höchstem internationalem Niveau, zuzuschreiben. Ihre Zusammenarbeit unter dem Dach des SANS Institutes und ihr Engagement kommt der gesamten IT-Security Community zu Gute. (www.sans.org)

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Bastian Hallbauer
Simon A. Löfflad

Telefon: 089 747470580
E-Mail: bhallbauer@kafka-kommunikation.de
E-Mail: sloefflad@kafka-kommunikation.de

Zurück