Was ist Anwendungssicherheit?

Anwendungssicherheit (Appsec) bezieht sich auf Technologie, Tools und Prozesse zum Schutz von Anwendungen – wie Web-, Cloud- und SaaS-Anwendungen – für internen und externen Bedrohungen. Da Web-Anwendungen oft vertrauliche Daten enthalten und über verschiedene Netzwerke verfügbar sind, muss deren Schutz ein zentraler Teil Ihrer Strategie für Cybersicherheit gegen Cyberkriminelle werden. Lösungen für Web-Anwendungssicherheit können Hardware wie Verschlüsselungs-Router, Software wie Sicherheitsanalysen und Tools zur Anwendungsbereitstellung wie einen Application Delivery Controller mit integrierter Web Application Firewall und Laufzeit-Features zum Schutz von APIs umfassen.

Was ist Cloud-Anwendungssicherheit?

Unter Cloud-Anwendungssicherheit versteht man Lösungen und Verfahren in der IT-Security zum Schutz des Datenaustauschs in kollaborativen Cloud-Umgebungen wie Slack, MS Office 365 und Sharefile. Zu den gängigen Maßnahmen für Cloud-Anwendungssicherheit zählen Tests der Anwendungssicherheit sowie sichere Web-Gateways zum Schutz von Benutzern in Zweigstellen. Aufgrund der steigenden Beliebtheit von Cloud- und SaaS-Anwendungen, IoT-Geräten und des Hostens von Anwendungen in der Cloud ist der Schutz dieser Anwendungen ein wichtiger Teil jeder Lösung für Anwendungssicherheit.

Ein weiteres wichtiges Element ist die entsprechende Architektur für Cloud-Anwendungssicherheit für eine IT-Sicherheit. Da sich die technologische Infrastruktur in Unternehmen weiterhin in Richtung Hybrid- und Multi-Cloud-Umgebungen entwickelt, benötigen sie vollständigen Einblick in die Konfiguration des Schutzes ihrer Cloud-Anwendungen. Das ist die Architektur der Cloud-Anwendungssicherheit. Durch die Bewertung ihrer Cloud-Anwendungssicherheit hinsichtlich Cloud-Verbindungen wie zum Beispiel Unternehmensrechenzentren, Anwendungs-Gateways, Cloud-Services und Systeme zur Identitätsprüfung können Unternehmen als Sicherheitsmaßnahmen eine Architektur entwerfen, die vertrauliche Daten in Cloud-Anwendungen schützt.

  • Warum ist die Anwendungssicherheit in Unternehmen wichtig?
  • Welche Tools sind für Anwendungssicherheit gängig?
  • Best Practices für Anwendungssicherheit

Warum ist die Anwendungssicherheit in Unternehmen wichtig?

Unternehmen verlassen sich bereits seit Jahrzehnten auf bestimmte Anwendungen, aber die meisten Unternehmensanwendungen, die ihre Endbenutzer heutzutage für sensible Daten nutzen, sind Web- oder Cloud-Anwendungen. Häufig nutzen Unternehmen auch Cloud-Speicher und stellen ihre Anwendungen in der Cloud bereit. Dadurch steigt das Risiko eines Angriffs, da Webservertechnologie, Datenspeicher und grundlegende Technologien zur Website-Erstellung wie CGI, Java, JavaScript, PERL und PHP alle unter Schwachstellen leiden. Browser und andere Client-Anwendungen, die mit Web-Anwendungen kommunizieren, haben ebenfalls Schwachstellen, die von Angreifern ausgenutzt werden können. Da all diese Web-Anwendungen mit mehreren Netzwerken und/oder Clouds verbunden sind, kann ein Sicherheitsvorfall in einer dieser Anwendungen das gesamte Unternehmen gefährden.

43% der Vorfälle beinhalten Angriffe auf Web-Anwendungen1. Zudem ist zu erwarten, dass Angreifer durch die steigende Cloud-Abhängigkeit der Unternehmen verstärkt Cloud-Anwendungen, in einer Cloud-Infrastruktur gehostete Anwendungen und andere Cloud-Ressourcen ins Visier nehmen. Bei den meisten Angriffen auf Cloud-Anwendungen geht es um Geld. Oft wird dabei Lösegeld für gestohlene vertrauliche oder persönliche Daten gefordert oder Angreifer verschaffen sich unrechtmäßig Zugriff auf und Kontrolle über Websites und Server. Um Sicherheitsrisiken einzudämmen, benötigen Unternehmen Softwaresicherheitslösungen, die die gesamte Anwendungsinfrastruktur schützen, einschließlich Cloud-, Mobil- und SaaS-Anwendungen.

Welche Tools sind für Anwendungssicherheit gängig?

In 83% aller Anwendungen gibt es Sicherheitslücken, bei 1 von 5 Anwendungen gibt es mindestens eine Sicherheitslücke mit hohem Schweregrad2. Vor diesem Hintergrund sollten Web- und Cloud-Anwendungen durch eine mehrschichtige Sicherheitslösung geschützt werden, die mehrere Angriffsvektoren abdeckt. Es gibt viele Tools für Anwendungssicherheit. Einige bieten Schutz auf Entwicklungsebene, andere auf IT-Ebene.

Anwendungssicherheit auf Entwicklungsebene

Der Schutz von Anwendungen beginnt bereits in der Softwareentwicklung, indem ihr Quellcode gemäß Praktiken für sichere Entwicklung geschrieben wird (steht im Zusammenhang mit DevSecOps). Für sicheres Programmieren ist es erforderlich, häufige Bedrohungen für Web-Anwendungen zu kennen. Dazu zählen SQL-Injection, DDoS, Malware, Denial of Service und unzureichende Authentifizierung. Die OWASP Top 103 ist eine bekannte Liste der Sicherheitsbedrohungen für Web-Anwendungen, die Entwickler beim Schreiben des Quellcodes berücksichtigen sollten. Da Softwareupdates zu neuen Anwendungsschwachstellen führen können, müssen Entwickler Anwendungssicherheitstests durchführen, um Lücken über die Lebensdauer der Anwendung hinweg aufzudecken. Das gilt insbesondere für Open-Source-Anwendungen, da Angreifer Schwachstellen dort einfacher auffinden können.

Laut Gartner müssen IT-Manager für den Schutz vor gängigen Angriffsmethoden sorgen, anstatt Sicherheitsfehler nur bei der Anwendungsentwicklung aufzudecken4. Besonders bei extern entwickelten Web-Anwendungen ist dies wichtig. Um Software zu schützen, müssen sowohl bekannte Angriffe mit nachvollziehbaren Verläufen und Charakteristika als auch unbekannte Angriffe blockiert werden, die oft als Abweichungen vom regulären Traffic der Websites und Web-Services eines Unternehmens erkennbar sind.

Erfahren Sie, wie Sie mit Citrix Application Security für konsistent höhere Sicherheit sorgen.

Durch die Vereinfachung des Schutzes Ihres Bestands an Anwendungen und APIs gewährt Citrix Application Security der IT einen ganzheitlichen Überblick, um Bedrohungen frühzeitig zu stoppen.

Anwendungssicherheit auf IT-Ebene

  1. Sichere Anwendungsbereitstellung
    Da Unternehmen vermehrt auf Multi-Cloud-Infrastrukturen setzen, benötigen Sie eine Lösung für hohe Anwendungssicherheit, die sowohl APIs als auch monolithische und Microservice-basierte Anwendungen schützt. Idealerweise wird bereits die Anwendungsbereitstellung abgesichert. Das gelingt unter anderem durch einen Application Delivery Controller (ADC), der eine gemeinsame Codebasis mit allen ADC-Formfaktoren teilt. So kann die IT einfacher konsistente Sicherheitsrichtlinien für alle Multi-Cloud-Umgebungen durchsetzen, zum Beispiel das White- oder Blacklisting bestimmter IP-Adressen oder die TLS-Verschlüsselung von APIs bei der Übertragung zwischen Client und API-Server.
  2. Application Delivery Management
    Eine weitere gängige Lösung zum Schutz der Anwendungsbereitstellung ist die Kombination eines ADC mit einer Plattform für Application Delivery Management (ADM). ADM-Lösungen gewähren Einblick in die Bereitstellung monolithischer und Microservice-basierter Anwendungen über verteilte Umgebungen hinweg. Das gibt IT-Administratoren Aufschluss über die Performance und Nutzung von Anwendungen und APIs, um verdächtige Aktivitäten oder Leistungseinbrüche zu melden.
  3. Sicherheit von Anwendungsdaten
    Da Anwendungen auf Daten aus dem gesamten Unternehmen zugreifen, muss die Sicherheit dieser Daten gewährleistet werden. Häufig werden vertrauliche Daten hierzu im Rechenzentrum des Unternehmens zentralisiert und gehostet, Datenverlust wird durch sicheren Dateiaustausch eingeschränkt und Daten werden bei der Übertragung und Speicherung containerisiert. Durch diese Maßnahmen können Anwendungen nur auf die benötigten Daten zugreifen und dieser Zugriff ist vor Cyberangriffen geschützt.
  4. Web Application Firewall
    Da ständige neue Bedrohungen für Web-Anwendungen aufkommen, müssen diese sowohl vor bekannten als auch unbekannten Angriffen geschützt werden. Web Application Firewalls haben sich hierbei bewährt, insbesondere solche mit einem positiven Sicherheitsmodell, das Benutzerinteraktionen und Anwendungsverhalten mittels KI und maschinellem Lernen überwacht. Das ermöglicht Unternehmen die Abwehr unbekannter Angriffe, Analysen für eine schnellere Problembehebung und Compliance mit Richtlinien wie der PCI-DSS. Web Application Firewalls sind oft in App Delivery Controller integriert, aber auch als eigenständiger oder gehosteter Service erhältlich.
  5. Sicherheitsrichtlinie für Zugriffe und Anwendungen
    Remote-Mitarbeiter können von praktisch überall auf Cloud-Anwendungen zugreifen. Deshalb benötigen Unternehmen Tools zum Durchsetzen von Sicherheitsrichtlinien für Anwendungen, die durch sicheren, kontextbasierten Zugriff auf Web- und Cloud-Anwendungen Angreifer fernhalten. Die Zugriffskontrolle ist nah mit der Zero-Trust-Sicherheit verwandt, weil sich Remote-Mitarbeiter dabei per Multi-Faktor-Authentifizierung identifizieren müssen, bevor sie auf Cloud-Anwendungen zugreifen können. Um den Benutzerkomfort von Tools zum Durchsetzen von Sicherheitsrichtlinien für Anwendungen zu verbessern, lassen sich dank SSO-Lösungen (Single Sign-On) sicherer Zugriff und Anwenderfreundlichkeit vereinen.
  6. Sicherer digitaler Arbeitsplatz
    Mitarbeiter möchten von allen Arten von Mobilgeräten, natürlich auch ihren Privatgeräten, auf Cloud-Anwendungen und in der Cloud gehostete Anwendungen zugreifen. Um Bring-Your-Own-Device-Richtlinien (BYOD) zu ermöglichen und Anwendungen gleichzeitig zu schützen, können sich Remote-Mitarbeiter bei einem sicheren digitalen Arbeitsplatz anmelden, um darüber auf all ihre Cloud-Anwendungen zuzugreifen. Das erhöht die Sicherheit von Daten und Cloud-Anwendungen, da Mitarbeiter alle arbeitsrelevanten Ressourcen an einem Arbeitsplatz erhalten und die IT für diesen zusätzliche Sicherheitsprotokolle implementieren kann, zum Beispiel eine lokale Firewall im eigenen Rechenzentrum.
  7. Netzwerksicherheit
    Für den Zugriff auf Cloud-Anwendungen sind Remote-Mitarbeiter und Zweigstellen oft auf lokale Internetverbindungen angewiesen, die nicht umfassend geschützt sind. Um sich vor lokalem Internetzugriff zu schützen, sollten Unternehmen eine konsolidierte SD-WAN-Lösung mit hoher Sicherheit am WAN-Edge implementieren. Darin sollte auch eine zustandsbehaftete Firewall enthalten sein. Damit kann die IT zentral Richtlinien festlegen, die Traffic nach Anwendungen und Zonen einschränken oder ablehnen.
  8. Monitoring und Analyse
    Selbst bei regelmäßigen Anwendungssicherheitstests und anderen Maßnahmen zum Schutz von Cloud-Anwendungen sollen Unternehmen stets den Überblick über alle SaaS-, Cloud- und Mobilanwendungen und deren Nutzung behalten. Hier kommen Monitoring und Analysen ins Spiel. Diese Tools ermöglichen eine kontinuierliche Risikobewertung aller Benutzer und Anwendungen sowie das Melden von ungewöhnlichem Verhalten, um externe oder interne Bedrohungen frühzeitig zu erkennen. Häufig sind Tools für das Monitoring und Analysieren von Anwendungen in Application-Delivery-Management-Lösungen integriert, um Einblick in alle Umgebungen einer Infrastruktur zur Anwendungsbereitstellung zu gewähren.

Best Practices für Anwendungssicherheit

Da große Unternehmen im Schnitt 129 unterschiedliche Anwendungen nutzen5, erscheint die Implementierung von Anwendungssicherheit zunächst als eine große Herausforderung. Nichtsdestotrotz kann jedes Unternehmen die Sicherheit seiner Anwendungsinfrastruktur steigern, indem diese Best Practices für Anwendungssicherheit befolgt werden:

  1. Anwendungssicherheit bewerten
    Die erste Best Practice in diesem Bereich ist eine Bewertung der Anwendungssicherheit. Sie dient der Bestandsaufnahme, welche Anwendungen von wem genutzt werden und welche Auflagen einzuhalten sind. Der erste Punkt gibt genau Aufschluss darüber, welche Anwendungen zu testen und zu schützen sind, der zweite hilft bei der Erstellung von passenden Protokollen für Zero-Trust-Modelle und Zugriffsschutz. Zuletzt ermitteln Sie durch die Klärung der Compliance-Fragen, wie sich persönliche Daten, auf die Ihre Anwendungen zugreifen, am besten schützen lassen. Vorlagen wie die PCI-DSS und HIPAA legen eigene Regeln fest, wie Daten in Web-Anwendungen zu schützen sind.
  2. Anwendungssicherheit testen
    Nach der Bestandsaufnahme der Anwendungen und Benutzer ist es Zeit, die Sicherheit Ihrer Cloud- und Web-Anwendungen zu testen. Mit dieser Best Practice für Anwendungssicherheit lassen sich potenzielle Schwachstellen und Sicherheitsprobleme in diesen Anwendungen aufdecken, um künftige Vorfälle zu verhindern. Dafür eignen sich Drittanbietertools für Sicherheitstests oder Penetrationstest-Services, um mögliche Voreingenommenheiten oder interne „tote Winkel“ zu vermeiden.
  3. Schwachstellen beheben
    Bei der nächsten Best Practice für Anwendungssicherheit werden die aus den Tests hervorgegangenen potenziellen Schwachstellen mit der Einführung eines Sicherheitsprogramms behoben. Das kann die Implementierung eines strikten Zeitplans für Softwareupdates umfassen, damit auf allen Geräten im Unternehmen die aktuellsten Sicherheitspatches laufen. Es empfiehlt sich auch, externe Technologieanbieter oder Sicherheitsteams hinzuzuziehen, die Sie beim Schutz von Zugriff, Daten und Mobilanwendungen unterstützen. So können Sie die für Ihr Anwendungsportfolio passenden Anwendungssicherheitstools einführen, anstatt für überflüssige Lösungen zu zahlen.

Zusätzliche Ressourcen

Nächster Schritt