Die Entwicklung neuer Softwareanwendungen hat sich in den letzten 20 Jahren zu einem wichtigen Erfolgsfaktor für Unternehmen gestaltet. Laut einem Bericht von Forrester Research investierten  Unternehmen aus Europa, Nordamerika und Asien allein im Jahr 2015 mindestens 620 Milliarden Dollar in diesen Bereich.

Die intern entwickelten Anwendungen sichern den Unternehmen Wettbewerbsvorteile. Dabei nutzen Entwickler für die entscheidende Funktionalität häufig OSS-Komponenten (Open-Source-Software). Webbasierte, kundenseitige Anwendungen sind ein wichtiger Faktor für die Profitabilität. Doch die Nutzung von OSS ohne umsichtige Überprüfung stellt für jedes Unternehmen ein potenzielles Risiko dar. Nach Marktforschungen von Gartner und Symantec erfolgen fast 90 Prozent der Softwareangriffe über die Anwendungsschicht.

Gleichzeitig ist ein Großteil der Chief Security Officers (CSOs) davon überzeugt, angemessene Lösungen für die Anwendungssicherheit einzusetzen. Hierzu investiert man in Firewalls, webgestützte Authentifizierung, Angriffserkennung und Identitätsmanagementsysteme. Doch diese Lösungen sichern nur das Umfeld der Anwendungen ab, indem sie den Datenverkehr überwachen. Keine Lösung konzentriert sich auf die Absicherung der Anwendungen von innen heraus, beispielsweise durch Verbesserung des Anwendungscodes oder durch Schwachstellenmanagement.

Wer im Rahmen seiner Open-Source-Strategie sichere Anwendungen gewährleisten will, muss über entsprechende Prozesse, Schulungen und Werkzeuge verfügen. Die gute Zusammenarbeit der Teams für Sicherheit und Engineering ist ein weiterer wichtiger Baustein. Hierzu gehört zum einen eine genaue Bestandsaufnahme der verwendeten Open-Source-Komponenten unter der Zuständigkeit des Engineering-Teams, zum anderen die Überprüfung der verwendeten Open-Source-Projekte auf bekannte und veröffentlichte Schwachstellen unter der Zuständigkeit des Sicherheitsteams. Um die genannten Lücken schließen zu können, bedarf es robuster neuer Werkzeuge für das Open-Source-Management und ein geschärftes Risikobewusstsein.

Kaum Support abseits von Linux

Anwendungssicherheit ist für die Risikoabwehr unverzichtbar. Das gilt ganz besonders für Open-Source-Software. Zur Open-Source gehören mehr als nur Linux und die gängigen OSS-Unternehmensanwendungen (wie etwa SugerCRM, Pentaho, Open Office). Sicherheitsbedenken verursacht vor allem die Vielzahl der namenlosen OSS-Komponenten. Sie werden heute in den meisten Anwendungen ganz einfach deswegen genutzt, damit die Entwickler das Rad nicht zweimal erfinden müssen. Warum sollte jemand Software für objekt-relationales Mapping entwickeln, wenn man Hibernate nutzen kann? Oder eine Komprimierungssoftware, wenn es zlib gibt?

Im Unterschied zu kommerziell unterstützten OSS-Betriebssystemen und Anwendungspaketen steht nur hinter jedem zehnten Open-Source-Projekt eine Community mit kommerziellen Services. Entwicklungsabteilungen, die OSS-Komponenten nutzen, sind sich selbst überlassen, wenn es um Patches, Upgrades, Schwachstellenbewertung und vergleichbare Aufgaben geht, die normalerweise Teil eines kommerziellen Servicevertrags sind.

Open-Source ist nicht mehr wegzudenken

Der Nutzen von OSS liegt auf der Hand: Senkung der Entwicklungskosten, Beschleunigung der Entwicklungszyklen und Reduzierung der Gesamtkosten der Anwendung – vorausgesetzt, das Anwendungsmanagement stimmt. Und tatsächlich bezeichnet IDC den Einsatz von Open-Source Software als den umfassendsten und dauerhaftesten Trend, den die Softwarebranche seit Anfang der 1980er Jahre erlebt.

Im Zeitalter des Internet der Dinge und eines Netzwerkzugangs rund um die Uhr können Entwickler aus aller Welt auf Open-Source, Freeware, Public Domain und Evalware (Demoversionen kommerzieller Programme) zugreifen und den Code in ihre Programme einbinden, ohne sich um die üblichen Prüfmechanismen im Beschaffungsprozess kümmern zu müssen. Doch ohne diese Kontrollen lassen sich OSS-Komponenten kaum erkennen, überwachen und nachverfolgen.

IT-Organisationen wissen daher meist gar nicht genau, welche Schwachstellen in ihrer Codebasis stecken. In jüngsten Untersuchungen hat Flexera festgestellt, dass die in den vergangenen fünf Jahren erstellten Anwendungen 50 Prozent oder mehr Open-Source-Code enthalten, bezogen auf die Zahl der Codezeilen. Wiederum 50 Prozent dieses Open-Source-Codes waren nicht dokumentiert.

Verwundbare Unternehmen

Undokumentierter Open-Source-Code in Unternehmensanwendungen gefährdet die Sicherheit dieser hochsensiblen und erfolgswichtigen Ressourcen. Wenn Entwickler früher den Code von Dritten in ihre Anwendungen einbinden wollten, wurde eine Entwicklungsvereinbarung oder ein Lizenzvertrag geschlossen. Hieran waren ein Entwicklungsleiter, eine Führungskraft aus dem Einkauf und ein Jurist beteiligt.

Die dazu nötigen komplexen Prozesse wurden aus Effizienzgründen weitgehend gestrichen. Daher können Unternehmen heute kaum noch Fragen beantworten, die für die Sicherheit ihrer wichtigsten Assets – ihre Softwareanwendungen – unverzichtbar sind:

  • Was steht in meinem Code?
  • Wo befindet sich die Open-Source-Software?
  • Gibt es Schwachstellen in Verbindung mit der verwendeten Open-Source-Software?

Je stärker die Entwicklungsabteilungen auf funktionsstarke, interaktive Umgebungen setzen, umso verwundbarer werden sie durch Schwachstellen (Stichwort Cross-Site Scripting). Angreifer nutzen bekanntermaßen diese OSS-Schwachstellen. Die Umgebungskontrollen für das Web 2.0 und die Softwarelösungen für das kommende Web 3.0 reichen bei Weitem nicht aus. Nach außen gerichtete, erfolgswichtige Softwareanwendungen müssen von Grund auf unter Einsatz von Sicherheitsmerkmalen programmiert werden.

Lesen Sie auf der nächsten Seite, warum Bewertung Pflicht ist. Außerdem finden Sie dort einen Fragenkatalog für mehr Sicherheit.

Seite 1 von 212