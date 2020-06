Software ist heute für nahezu jedes Geschäftsmodell ein elementarer Faktor. Mehr denn je stehen Unternehmen gegenwärtig vor der Aufgabe, nicht nur mehr Software zu produzieren, sondern diese Herausforderung auch in immer kürzeren Release-Zyklen umzusetzen. Das Beispiel agiler Fintech-Start-ups, die große, etablierte Banken überholen, verdeutlicht sehr anschaulich, wie wichtig der Wettbewerbsfaktor Geschwindigkeit geworden ist. Doch dieses hohe Tempo birgt auch Gefahren.

Untersuchungen wie der Verizon Data Breach Investigations Report (DBIR) zeigen die Kehrseite der Beschleunigung: Applikationen sind weltweit Hauptvektoren für Angriffe. Unternehmen drohen dadurch Daten zu verlieren, ganze Systeme lassen sich so kompromittieren bis hin zur kompletten Einschränkung des Betriebs. Außerdem erleiden Marken einen kritischen Imageschaden, wenn sie Kundendaten verlieren. „Schnell“ kann also auch „gefährlich“ bedeuten. Die steigende Geschwindigkeit in der Entwicklung neuer Software darf daher nicht auf Kosten der Anwendungssicherheit gehen. Trotzdem ist Application Security heute unternehmensintern immer noch ein Randthema, das als sperrig, schwierig und teuer gilt. Kein Wunder also, dass Entscheider Budgets eher für Endpoint- und Netzwerksicherheit oder IAM (Identity- und Access-Management) einplanen. Wenn jedoch dem Management die Übersicht über die Sicherheitslage im Unternehmen fehlt, befindet es sich im Blindflug. Es ist deshalb an der Zeit, dem Thema Anwendungssicherheit mehr Aufmerksamkeit zu schenken und mit Vorurteilen aufzuräumen.

Um die Gründe für diesen problematischen Zustand zu verstehen, muss man den Blick auf die Struktur von Unternehmen und auf die Historie der Softwareentwicklung lenken. In vielen Unternehmen arbeiten Sicherheits-, Betriebs- und Entwicklungsabteilungen getrennt voneinander an sehr unterschiedlichen Aufgaben. Sie nutzen verschiedene Programmiersprachen und Tools, wenn sie für Unternehmenszweige Softwareprojekte umsetzen. Ein allumfassender Überblick über alle Applikationen und deren Sicherheitslage fehlt oft, und die abteilungsübergreifende Kommunikation ist unzureichend. Hinzu kommt, dass Unternehmen immer mehr Web-Applikationen in der Cloud einsetzen und diese via APIs (Application Programming Interfaces) mit anderen Anwendungen verknüpfen – das ist zwar praktisch, eröffnet aber zugleich Angreifern zusätzliche Möglichkeiten, Schadcode einzufügen.

DevOps: Oft nur vorgeblich agil

Auch der Trend zu agilen Entwicklungsmethoden und Prozessbeschleunigern wie dem DevOps-Ansatz hat dazu beigetragen, dass Unternehmen in Sicherheitsfragen bei ihrer Softwareentwicklung neue Wege gehen müssen. Veröffentlichte man früher wenige Releases pro Jahr, gilt heute zunehmend das Prinzip CI/CD (Continuous Integration/Continuous Development): Unternehmen entwickeln Releases neuer Anwendungen in immer kürzeren Zeitabständen und übergeben sie unverzüglich dem Betrieb. Verfügbare Tools für Anwendungssicherheit wie die statische und dynamische Codeanalyse, Web Application Firewalls (WAFs) oder manuelles Pentesting stammen jedoch noch aus der vorherigen Ära der Softwareentwicklung. Deshalb sind sie mit denr agilen Entwicklungsmethoden nicht kompatibel.



1.2. Automatisierte Sicherheitstests