Sicherheitsabteilungen jonglieren heutzutage mit einer Vielzahl von Initiativen und Projekten und jeder kämpft um seinen Teil des Budgets. Dabei kommt Anwendungssicherheit leider oft noch zu kurz. Das ist besonders besorgniserregend, wenn man sich die Ergebnisse des neuesten „State of Software Security Report“ von Veracode vor Augen führt: Mehr als 85 Prozent aller Anwendungen weisen mindestens eine Schwachstelle auf. Drei Monate nach der Entdeckung einer Schwachstelle haben nicht einmal die Hälfte der Unternehmen es geschafft, diese zu beheben. Und besonders alarmierend ist außerdem, dass Jahr für Jahr die gleichen Schwachstellen im Code auftauchen. Um die Anwendungssicherheit zu optimieren, bedarf es allerdings entsprechender finanzieller Investition. Die fünf folgenden Punkte helfen, ein höheres AppSec-Budget einzufordern
Einen konkreten Anlass aufzeigen
Der nächstliegende Anlass mehr Budget für Anwendungssicherheit einzufordern, ist natürlich eine Sicherheitslücke selbst – entweder im eigenen Unternehmen oder ein anderer öffentlicher Fall. Konkrete Anlässe lassen sich allerdings auch in anderen Kontexten finden, wie zum Beispiel der europäischen Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Die DSGVO stellt neue Sicherheitsansprüche an Unternehmen und eine potenzielle Nichteinhaltung kann zu hohen Strafen führen. Ein weiterer Anlass wäre schlichtweg ein Kunde, der sich gezielt nach der Sicherheit der Software erkundigt. Software-Einkäufer sind sich zunehmend über die vielen Sicherheitsrisiken bewusst und achten umso genauer auf hohe Sicherheitsniveaus der angebotenen Software. In einer neuen Studie in Zusammenarbeit mit IDG hat Veracode herausgefunden, dass 96 Prozent aller Software- und IT-Einkäufer sich im Zweifel immer für den Anbieter entscheiden, der in unabhängigen Tests als „sicher“ eingestuft wurde. Ein geplatztes Geschäft aufgrund mangelnder Sicherheitszertifizierung wäre also durchaus ein konkreter Anlass für die Aufstockung des AppSec-Budgets.
Ausblick in die Zukunft geben
Eine klare, zukunftsorientierte Roadmap für das eigene AppSec-Programm zu entwickeln ist nicht nur ausschlaggebend für den Erfolg des Programms, sondern auch für Budget-Entscheidungen. Neben Glaubwürdigkeit verleiht eine durchdachte Roadmap Außenstehenden auch einen Einblick in die tatsächlichen Auswirkungen, die ein AppSec-Programm mit sich bringt – Risikominimierung und schnelle Fehlerbehebung. Eine Investition in Sicherheits-Schulungen für Entwickler erhöht beispielsweise die Eigenverantwortung und verringert langfristig die Belastung der Sicherheitsteams.
Benchmarks aufzeigen
Überzeugungsarbeit kann außerdem durch das Aufzeigen von Benchmarks geleistet werden. Das eigene Sicherheitsniveau direkt mit dem anderer Unternehmen zu vergleichen, hilft, ein generelles Verständnis für die Effektivität des eigenen Sicherheitsprogramms zu vermitteln. Ein schlechteres Abschneiden ist ein relativ selbsterklärendes Argument für mehr AppSec-Budget. Sollte das eigene Sicherheitsprogramm im Vergleich besser abschneiden, ist das ein guter Ausgangspunkt um noch ambitioniertere Projekte einzuleiten und die anführende Position damit beizubehalten. Als Benchmark-Richtlinie eignet sich beispielsweise der SOSS-Report oder das OpenSAMM Framework.
Das Publikum kennen
Eine der häufigsten Ursachen für das Scheitern von Unternehmens-Initiativen ist, dass die Initiatoren mit den falschen Informationen an die Entscheidungsträger herantreten. Ein CFO wird nicht viel mit der Information „Wir haben die Anzahl unserer SQL-Injections um 30 Prozent erniedrigt“ anfangen können. Für den CFO müssen diese Werte in Umsatzzahlen, oder zumindest Risikoeinschätzungen, übersetzt werden. Hilfreich wären also Formulierungen wie „Das AppSec-Programm wird die Anzahl von Datenlecks um X Prozent reduzieren“ oder „Durch das AppSec-Programm sparen wir uns X Prozent der Kosten, die durch das Beheben von Schwachstellen anfallen“
Prioritäten setzen
Ein ganzheitliches AppSec-Programm ist umfangreich und beinhaltet viele unterschiedliche Komponenten, in die investiert werden muss. Sicherheitsabteilungen müssen sich im Klaren sein, wo ihre „Must‘s“, „Should‘s“ und „Could‘s“ liegen und Stakeholdern dann entsprechende Optionen aufzeigen. Welche Aspekte des Programms sind unentbehrlich? An welchen Stellen ist Raum für Verhandlung? Und welche Aspekte könnte man nach einigen Monaten des ersten Aufrollens des Programms nochmals neu evaluieren? Oberste Priorität sollten in jedem Falle Compliance-Regulationen sein. Ein typisches „Should“ wären Investitionen in neue Testing- bzw. Scanning-Techniken und ein „Could“ wären weiterführende Trainings für Sicherheitsteams.
Um mehr Budget für ein umfangreiches Anwendungssicherheitsprogramm herauszuholen, bedarf es also ein paar Tricks. Was sich allerdings durch jeden der fünf Punkte zieht, ist der Gedanke einer Vision. Sicherheitsteams müssen genau wissen, wie ihr AppSec-Programm aussehen soll, was sie dafür brauchen und inwiefern die richtige Applikationssicherheitsstrategie in der Zukunft zum Unternehmenserfolg beitragen wird.
#Netzpalaver #Veracode