Suchen

Industrial IT-Security App Security: Riskante Altlasten in Anwendungen überwinden

| Autor / Redakteur: Julian Totzek-Hallhuber* / Sebastian Human

Wer mehr ausgibt, als er einnimmt, schiebt schnell einen großen Schuldenberg vor sich her. Ähnlich verhält es sich in der IT-Sicherheit. Wer weniger Probleme löst, als neue entstehen, kann keine vollständige Sicherheit gewährleisten und bleibt angreifbar.

Firma zum Thema

Aus kleinen Fehlern in Apps können ernsthafte Sicherheitslücken werden.
Aus kleinen Fehlern in Apps können ernsthafte Sicherheitslücken werden.
(Bild: gemeinfrei / Unsplash)

Zum zehnten Mal veröffentlichte Veracode dieses Jahr mit dem State of Software Security (SoSS) Report die branchenweit umfangreichste Studie zum Thema Anwendungssicherheit. Die Auswertung von über 85.000 Anwendungen in mehr als 2.300 Unternehmen kommt zu dem Schluss, dass Schwachstellenbehebung im Entwicklungsprozess ähnliche Priorität genießt wie die Optimierung der Funktionalität. Trotzdem ergeben sich langfristig Sicherheitsrisiken durch nicht behobene Schwachstellen.

Der Wettlauf mit alten und neuen Sicherheitslücken

Im ersten SoSS-Report von vor 10 Jahren lag die durchschnittliche Dauer, um Schwachstellen in Anwendungen zu beheben, bei 59 Tagen. 2019 hat sich dieser Zeitrahmen fast verdreifacht und ist auf 171 Tage angestiegen. Dies ist allerdings nur bedingt auf die heutige Komplexität von Anwendungen im Vergleich zu früheren Jahren zurückzuführen. Der Median liegt nämlich nach wie vor bei 59 Tagen. Das bedeutet, dass es einige wenige gravierende Fälle gibt, in den es mehrere hundert Tage dauerte, bis Schwachstellen behoben wurden – oder sie nach wie vor offen sind.

Bei der Sicherheitsverschuldung von Unternehmen verhält es sich ähnlich wie mit einem Schuldner, der mit seinem Einkommen nur aktuelle Rechnungen begleichen kann, aber nicht dazu kommt, alte Schulden abzubauen. Je länger Schwachstellen bestehen, desto schwerer fällt es mit der Zeit, diese zu beseitigen. Der SoSS-Report zeigt, dass ungefähr die Hälfte aller Anwendungen über die Zeit hinweg Schulden in Form von Schwachstellen ansammelt. Einem Viertel gelingt es diese zu reduzieren und ein weiteres Viertel schafft es sie komplett abzubauen.

Schwachstellen mit DevSecOps langfristig ausmerzen

Um die Risiken durch lang verschleppte Altlasten zu minimieren, müssen Unternehmen daran arbeiten, Probleme und Schwachstellen möglichst früh im Entwicklungsprozess zu entdecken und aufzuspüren. Der Zeitdruck, der durch die immer knapperen Release-Zyklen entsteht, steht diesem Vorhaben allerdings häufig im Wege und führt dazu, dass das Testen von Anwendungssicherheit nicht in der Sorgfalt stattfinden kann, wie es nötig wäre. Schwachstellen werden dadurch erst spät oder gar nicht entdeckt und dadurch steigt die Risikoexposition.

Die Lösung besteht darin, dem heute bereits weitläufig praktizierten DevOps-Ansatz, also der Verzahnung von Entwicklung und Betrieb, die Komponente Sicherheit hinzuzufügen und Sicherheitsscans stärker im Entwicklungsprozess zu verankern. Die Umstellung auf DevSecOps verlangt zwar einige Vorbereitung und Geduld, allerdings wiegen die daraus entstehenden Vorteile den Aufwand wieder auf. Das belegt auch der SoSS-Report. Dieser zeigt einen eindeutigen Zusammenhang zwischen der Häufigkeit von Tests und der Zeitspanne, die zur Beseitigung von Schwachstellen nötig ist. Bei 1-12 Scans pro Jahr liegt diese bei 68 Tagen und sinkt auf nur 19 Tage bei mehr als 260 Scans pro Jahr. Die Software von Teams, die einen DevSecOps-Ansatz verfolgen und ihre Anwendungen fast täglich scannen, ist also sicherer.

Um DevSecOps erfolgreich zu implementieren, sind Entwickler darauf angewiesen, automatisierte Testwerkzeuge einzusetzen, um die Abhängigkeit von manuellen Prozessen zu verringern. Diese verhindern heute, eingehende Tests im Einklang mit den immer schnelleren Release-Zyklen durchführen zu können. Mit Tools in einer integrierten Entwicklungsumgebung (IDE - Integrated Development Environment) können Entwickler Sicherheit in ihren Workflow integrieren und sind nicht darauf angewiesen, den Code in einer neuen Umgebung zu testen. So sind sie in der Lage, Fehler schon während der Code-Erstellung zu suchen und somit schneller beheben zu können.

* Julian Totzek-Hallhuber ist Spezialist für Anwendungssicherheit und arbeitet als Solution Architect bei Veracode.

(ID:46458539)