Software

Gruselmonat Oktober: 4 Tipps, damit Security-Schwachstellen keinen Schrecken mehr verbreiten

4,35 Millionen US-Dollar – so hoch sind weltweit die durchschnittlichen Kosten für Unternehmen bei Datenschutzverletzungen. Und die Kosten steigen mit jedem Jahr. Das Problem: Während Unternehmen sich schwertun, Sicherheitsrisiken zu erkennen und schnell zu beseitigen, finden Cyberkriminelle stetig neue Lücken und entwickeln ausgereiftere Methoden, um in Unternehmensnetzwerke einzudringen. Oktober als alljährlicher European Cyber Security Month soll Unternehmen genau dafür sensibilisieren. Laurent Strauss, Chief Cyber Security Strategist bei Micro Focus, nimmt daher vier große Schwachpunkte genauer unter die Lupe und erklärt, wie sich Unternehmen am besten schützen können.

1. Trennung zwischen IT und Security

Die Sicherheit spielte in der Softwareentwicklung lange Zeit nur eine untergeordnete Rolle. Und auch heute, angesichts der Tatsache, dass Anwendungen immer schneller (weiter-)entwickelt werden müssen, um die sich verändernden Nutzerbedürfnisse schnellstmöglich zu befriedigen, werden Sicherheitstests oft als unnötige Verzögerung empfunden. Doch sie sind entscheidend, um etwaige Schwachstellen im Code zu finden und zu beheben, bevor Anwendungen live gehen und Kriminellen Tür und Tor öffnen.

Unternehmen sollten daher dem Shift-Left-Ansatz folgen und Wege finden, die Sicherheitsaspekte wesentlich früher und über den gesamten Softwarelebenszyklus zu integrieren. Neue Technologien setzen dafür beispielsweise schon bei einzelnen Dateien oder Teilapplikationen an. Ab dem ersten Moment, in dem eine Software konzipiert wird, muss die Sicherheit mitgedacht werden.

2. Der Überblick fehlt

Ähnlich wie der Shift-Left-Ansatz ist auch das Konzept der Software Bill of Materials (SBOM) – es ist zwar nicht neu, kommt aber in vielen Unternehmen trotzdem noch nicht zum Einsatz. Gemeint ist damit eine detaillierte Auflistung aller einzelnen Komponenten einer Software und ihrer Beziehung innerhalb der Softwarelieferkette. Dies ermöglicht Unternehmen nicht nur, einen genauen Überblick über aktuelle Schwachstellen zu gewinnen, die es zu zügig zu beheben gilt. Sondern es beschleunigt zudem auch ihre Reaktionszeit im Falle eines Angriffs oder wenn neue Sicherheitslücken, etwa in Bibliotheken von Drittanbietern, entdeckt werden. Doch es reicht nicht aus, einmalig eine SBOM zu erstellen und diese in (un)regelmäßigen Abständen zu aktualisieren. Stattdessen sollten Unternehmen Analyse-Tools integrieren, die Informationen zu Software, genutzten Bibliotheken oder Open-Source-Code in Echtzeit liefern.

3. Neue Technologien, neue Risiken

Zwar ist das Bewusstsein für eine Vielzahl von Risiken, beispielsweise in der Lieferkette von Open-Source-Bibliotheken, in den IT-Abteilungen in den letzten Jahren gestiegen. Doch mit der Nutzung und Integration neuerer Technologien entstehen auch neue Risiken, die nicht zwingend in Echtzeit überwacht werden können. So gewinnen beispielsweise Serverless Computing und Function as a Service (FasS) in der Welt der Softwarearchitektur derzeit immer mehr an Bedeutung. Jedoch werden die entsprechenden Anbieter regelmäßig Ziel von Angriffen und sind nicht ohne Schwachstellen. Unternehmen sollten sich deshalb vor der Einführung und Nutzung neuer Technologien etwaige Sicherheitsrisiken bewusst machen. Darauf basierend müssen sie auch entscheiden, wie sie ihre eigene Sicherheitsstrategie anpassen oder ob sie eher weitere Security-Tools implementieren, um Anwendungen und Daten vor Kriminellen zu schützen.

4. Gefahren aus dem Inneren

Am Ende des Tages sind die eigenen Mitarbeiter immer noch eines der größten Sicherheitsrisiken für Unternehmen. Diese Insider können bewusst oder unbewusst großen Schaden anrichten, indem sie etwa Firmengeheimnisse verkaufen, Datensätze löschen oder durch Social-Engineering-Angriffe manipuliert werden.

Um dieses Risiko zu senken, sollten Unternehmen zum einen durch Schulungen das Sicherheitsbewusstsein in ihrer Belegschaft erhöhen und eine vertrauensvolle, kollegiale Unternehmenskultur fördern. Zum anderen können Security-Tools zum Einsatz kommen. Beispielsweise analysieren Lösungen für User Entity Behavior Analytics (UEBA) Daten, um Muster auf Benutzer- und Unternehmensebene zu erkennen und aufzudecken, die womöglich auf schädliches Verhalten von Mitarbeitern hinweisen. So können Sicherheitslücken minimiert werden, bevor sie überhaupt entstehen.

Über die Micro Focus Deutschland GmbH

Micro Focus ist ein führender Anbieter von Unternehmenssoftware, mit der bereits über 40.000 Kunden weltweit ihr Geschäft erfolgreich transformieren, betreiben oder optimieren. Dafür bietet das umfassende Lösungs-Portfolio ein breites Spektrum an Technologien für Sicherheit, IT-Betrieb, Anwendungsbereitstellung, Governance, Modernisierung und Analyse. Mithilfe seines umfangreichen Partnernetzwerks unterstützt Micro Focus Unternehmen dabei, die Lücke zwischen bestehenden und neuen Technologien zu schließen.

Weitere Informationen erhalten Sie auf www.microfocus.com.

Besuchen Sie Micro Focus auf LinkedIn oder folgen Sie @MicroFocus auf Twitter.

Firmenkontakt und Herausgeber der Meldung:

Micro Focus Deutschland GmbH
Herrenberger Straße 140
71034 Böblingen
Telefon: +49 (322) 11076466
http://www.microfocus.com

Ansprechpartner:
Patricia Lammers
Hotwire für Micro Focus
E-Mail: MicroFocusGermany@hotwireglobal.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel