Business-kritische Applikationen müssen sicher sein. Viele IT-Verantwortliche ergreifen trotz aller Gefahren nicht die notwendigen Sicherheitsmaßnahmen, kritisiert René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security.
Die Gefährdungslage der IT verschärft sich und wird vielschichtiger. Bei einem Angriff verhindern Unternehmen mit Schutzmaßnahmen oft einen größeren Schaden. Sicherheitsexperte Renée Bader entlarvt sechs Mythen, welche die Sicherheit gefährden, und zeigt auf., wie Unternehmen jenseits des Basisschutzes ihre Sicherheit verbessern.
- Mythos: Cyberkriminelle attackieren nur die Infrastruktur und keine Applikationen
Dieser Mythos ist ein weit verbreiteter Irrglaube. Untersuchungen haben ergeben, dass mehr als die Hälfte aller Angriffe über das Applikations-Layer erfolgen. Das siebte OSI-Layer, also die Anwendungsschicht, wird durch klassische Firewalls aber gar nicht geschützt. Zu empfehlen ist es, kritische Geschäftsanwendungen durch eine Application Firewall zu schützen, die Input, Output und Zugriffe auf externe Dienste kontrolliert und gegebenenfalls blockiert, wenn sie nicht der in der hinterlegten Policy entsprechen. Applikationssicherheit setzt aber bei der Entwicklung der Software an. Anwendungsprogrammierer sollten erwiesenermaßen unsicheren Code und gefährdungsanfällige Programmierkonstrukte nicht mehr verwenden, damit Schwachstellen gar nicht erst entstehen. Im gesamten Application Lifecycle spielt außerdem ein zeitnah durchgeführtes Patch-Management eine sehr wichtige Rolle.
- Mythos: Penetrationstests sichern Anwendungen ab
Die meisten IT-Spezialisten glauben, dass ein erfolgreich absolvierter Penetrationstest die Sicherheit einer Anwendung garantiert. Das gilt für einfache Apps, aber nicht für komplexe Anwendungen, die viel Business- und Prozess-Logik Komplexe Applikationen mit vielen Stakeholdern lassen sich in Penetrationstests nicht vollständig austesten. Entwicklungs-, Beschaffungs- oder Freigabeprozesse, an denen mehrere Geschäftseinheiten beteiligt sind, sollten deshalb unbedingt zusätzliche Security-Maßnahmen durchlaufen. NTT Security empfiehlt, sich an Software-Reifegradmodellen wie OpenSAMM zu orientieren, die Unternehmen helfen, eine auf ihr Geschäftsmodell abgestimmte Sicherheitsstrategie für Business-kritische Applikationen aufzusetzen.
Besondere Aufmerksamkeit benötigen selbst entwickelte Applikationen. So werden über 70 Prozent der SAP-Funktionalitäten werden von den Unternehmen selbst programmiert. Der Hersteller übernimmt für Eigenentwicklungen keine Sicherheitsgarantie. Die mithilfe von Reifegradmodellen wie OpenSAMM (Open Software Assurance Maturity Model) aufgestellten Sicherheitsmaßnahmen sind daher bei selbst erstellter Software besonders wichtig. - Mythos: Mit Sicherheitstools haben Cyberangreifer keine Chance
Viele Unternehmen verlassen sich zu sehr auf ihre Sicherheitstools, zum Beispiel auf das Patching oder das Konfigurationsmanagement. Diese Tools sind wichtig, aber nur die halbe Miete. In der IT ist heute alles mit allem vernetzt, aber die einzelnen Geschäftseinheiten sprechen kaum miteinander. Experten, die auf eine ganzheitliche Sicherheitsstrategie achten, sollten bei jeder Neueinführung und bei jeder wichtigen Entscheidung mit am Tisch sitzen. Sonst benutzt jede Abteilung unkoordiniert ihre eigenen Tools, und am Ende gibt es bei einem Sicherheitsvorfall viele enttäuschte Gesichter. - Mythos: Jeder Mitarbeiter ist für die Sicherheit selbst verantwortlich
Die gefährlichste Schwachstelle in Unternehmen sind die eigenen Mitarbeiter. Wichtig ist deshalb, durch regelmäßige Schulungen ein Risikobewusstsein zu schaffen und über die aktuellen Angriffsvektoren zu informieren. Schulungen schließen nicht aus, dass sich Cyberkriminelle durch Social-Engineering-Techniken wie personalisierte Phishing-Mails Zugang zu sensiblen Daten verschaffen. Sie erhöhen aber die Awareness und verringern das Risiko. Bei jeden Klick auf ein Mail-Attachement sollten die Mitarbeiter den gesunden Menschenverstand einzusetzen. - Mythos: Sicherheitspatches dauern Stunden und blockieren Systeme
Ungepatchte Applikationen stehen Im Durchschnitt mehrere hundert Tage im Netz, obwohl deren Schwachstellen bekannt sind und Cyberkriminelle jederzeit einen Angriff starten könnten. Das größte Sicherheitsleck für Applikationen sind ungepatchte Bibliotheken, so der Application Security Statistics Report 2018 (Vol. 13) von WhiteHat, einem Tochterunternehmen von NTT Security. Grund für dieses fahrlässige Verhalten ist der in vielen Firmen verbreitete Irrglaube, dass IT-Systeme beim Aufspielen von Sicherheitspatches nicht nutzbar sind: Kunden können möglicherweise Bestellsysteme nicht aufrufen, Mitarbeiter drehen Däumchen und dem Unternehmen entgehen dadurch Einnahmen.
Diese Annahme ist falsch. Sicherheitspatches lassen sich heute entweder im laufenden Betrieb aufspielen oder sie erfordern lediglich ein kurzzeitiges Abschalten einzelner Komponenten. Eine Alternative besteht darin, das nächtliche Wartungsfenster für die Patches zu nutzen. - Mythos Wenn man gehackt wurde, ist nichts mehr zu machen
Im Angriffsfall sollten Unternehmen auf jeden Fall Ruhe bewahren und durch unüberlegte Kurzschlussreaktionen nicht noch mehr Schaden anrichten. Manch ein Unternehmen hat nach einem Angriff den Netzstecker gezogen und dadurch die Festplatten-Controller zerstört. Für die Forensiker war es nicht mehr möglich, den Angriff zu rekonstruieren und die Angriffsvektoren zu identifizieren. Ziel sollte sein, so viele Beweise und Daten wie möglich zu sammeln und schnellstmöglich die Hilfe professioneller Sicherheitsexperten einzuholen.
„Die von den Unternehmen eingesetzten Basismaßnahmen bieten nur selten eine umfassende IT-Sicherheit“, erläutert Bader. „Ich empfehle den Verantwortlichen dringend, ihre selbsterstellten Applikationen zusätzlich durch Reifegradmodelle wie OpenSAMM abzusichern.“ Jürgen Frisch
