21.10.2011
Anwendungen werden zum Unsicherheitsfaktor
IT-Sicherheit: In Sachen IT-Sicherheit stößt die klassische Firewall-Technologie an Grenzen. Experten drängen deshalb darauf, Kern- und Webanwendungen in den Unternehmen auf Schwachstellen abzuklopfen und Neuentwicklungen im Hinblick auf Sicherheit zu entwickeln.
VDI nachrichten, Nürnberg, 21. 10. 11, pek
„Jede Kernanwendung bei einem deutschen DAX-Unternehmen weist durchschnittlich 10 000 bis 50 000 Schwachstellen auf“, warnt Arved Graf von Stackelberg, Manager bei der HP-Tochter Fortify. „Viele Großunternehmen haben noch nicht verstanden, wie sehr sie sich in Gefahr begeben, wenn sie ihre Anwendungen nicht umgehend sicherer machen.“
„Für SAP als Hersteller von ERP-Software hat das Thema Anwendungssicherheit deshalb hohe Priorität“, versichert Gunter Bitz, Head of Product Security Governance, SAP AG. „Wir sehen die steigende Bedeutung des Themas daran, dass wir von unseren Kunden immer häufiger darauf angesprochen werden.“
Stackelberg führt aus: „Früher waren Anwendungen nicht so eng miteinander verknüpft wie heute. Daher war es früher relativ einfach, einen wirkungsvollen Schutz gegen Angreifer aufzubauen, indem man den Netzzugang kontrollierte oder sperrte.“ Doch heute würden Anwendungen auf verschiedene Arten und Weisen – etwa mobil – kommunizieren. Klassische Schutzmechanismen seien so nicht mehr praktikabel.
Einen weiteren Unsicherheitsfaktor stellt der Nutzer dar. „Einerseits entwickelt sich die Technologie rasant weiter, andererseits wird die Qualifikation der Menschen, die an derartigen Prozessen teilnehmen, vernachlässigt“, moniert Martin J. Wieczorek, Managing Partner von SQS Software Quality Systems. Mit „Schwachstellen“ meint Wieczorek nicht nur Einbruchsmöglichkeiten im Quellcode, sondern auch Schwachstellen in den Prozessen und in der Organisation. Schulungen, Coachings und Sensibilisierung der Mitarbeiter seien wichtig.
Die Experten sind sich einig, dass Anwendungssicherheit den ganzen Lebenszyklus einer Anwendung abdecken muss, von der Entwicklung bis zur Abschaltung. „Heute gehen ca. 90 % aller Schwachstellen von den Anwendungen aus, die auf dem Betriebssystem laufen“, weiß Michael Kranawetter, Sicherheitsexperte bei Microsoft. „Deshalb haben wir den Security Development Lifecycle (SDL) entwickelt, eine Vorlage von Sicherheitsmaßnahmen und Aspekten, die in einen Softwareentwicklungsprozess integriert werden müssen.“
Bei Microsoft durchlaufe jede entwickelte Software diesen Prozess, dennoch seien auch Softwareentwickler nur Menschen und machten Fehler. Um diese Fehler zu reduzieren, werde jede Codezeile , die geschrieben wird, mehrmals in verschiedenen Tests geprüft und von anderen Entwicklern auf potenzielle Sicherheitslücken überprüft.
Doch es gibt ein Problem: „Große Kernanwendungen in Unternehmen kommen häufig auf mehrere Hundertmillionen Codezeilen“, weist SAP-Mann Bitz hin. „Daher muss ein Großteil der Code-Analyse“, so IBM-Experte Stephan Rosche, „automatisiert ablaufen.“ „Wichtig ist, dass sich die Ergebnisse aus statischen wie auch dynamischen Tests korrelieren lassen“, rät Stackelberg. „Dadurch werden Defizite ausgeglichen, die beide Testverfahren für sich genommen aufweisen.“
Doch was passiert, wenn ein Softwarehersteller nur sein eigenes Süppchen kocht? Um dieses Risiko abzuwenden, so die Experten unisono, müssen Standards für die Sicherheit wie auch für die Entwicklung greifen. Diese Standards heißen Common Criteria, BSI-Grundschutz, PCI DSS und ISO 27000. „Kenntnisse von sicherheitsrelevanten Regularien und Frameworks sind enorm wichtig“, meint SQS-Manager Wieczorek.
HP beruft sich auf seine eigene Software Security Research Group und SAP-Mann Bitz auf die Organisation SAFECode (Software Assurance Forum for Excellence in Code). „Die SAP verfügt über ein eigenes Team innerhalb der Forschungsabteilung, das sich auf Forschungsprojekte im Bereich IT-Sicherheit spezialisiert hat“, so Bitz. MICHAEL MATZER