Soccer team in a huddle

Die Anwendungsebene als Sicherheitsrisiko

17. April 2015 von Tim Clark 0

Während Sie diesen Artikel lesen, arbeiten Hacker mit Hochdruck daran, über verschiedene Wege an Ihre vertraulichen Unternehmensdaten zu kommen. Ich weiß, was Sie denken. Sie haben das alles schon einmal gehört, Sie haben bereits alles Nötige getan und Ihr Unternehmen ist daher vor Gefahren geschützt. Sind Sie sich da ganz sicher?

Die Realität sieht leider anders aus. Selbst wenn Sie genau wissen, wie Sie vermeintliche Schwachstellen in Ihrem Netzwerk beheben können, werden sich die Hacker wahrscheinlich über Anwendungen und Lösungen Zugang verschaffen. Klar, viele Unternehmen haben stark in die Sicherheit ihres Netzwerks investiert. Das reicht aber wohl nicht aus, da 84 Prozent aller Cyberangriffe auf der Anwendungsebene stattfinden.

Dieses Thema wurde kürzlich im Beitrag „Final Security Frontier: Application Layer“ (Die Anwendungsebene als Sicherheitsrisiko) auf SAP Radio diskutiert. Drei Sicherheitsexperten bewerteten die Gefahr von Cyberattacken und zeigten auf, wie sich diese abwehren lassen.

Schwachstellen entdecken

Während Software wirklich interessante und faszinierende Dinge wie vernetzte Fahrzeuge und Staubsaugerroboter ermöglicht, entstehen durch ihre allgemeine Verbreitung aber auch Sicherheitsrisiken, so Jason Schmitt, Vice President und General Manager of Fortified Business for HP Enterprise Security Products. „Hacker sind wirklich clever“, sagte Schmitt. „Sie wissen genau, wie sie am einfachsten Zugang zu Daten und vertraulichen Informationen bekommen können und wo sich das am meisten für sie lohnt. Dazu greifen sie gezielt die verwundbarste Stelle an, nämlich die Software, die wir an andere weitergeben, ohne darüber nachzudenken, wie wir ihre Sicherheit gewährleisten.“

Unternehmen geben zwischen 45 und 50 Milliarden US-Dollar für IT-Sicherheit aus. Aber nur ein kleiner Prozentsatz davon richtet sich an Software-Anwendungen. „Das verdeutlicht, dass man sich des Problems häufig noch gar nicht bewusst ist“, so Schmitt.

Massive Angriffe sind ein Riesengeschäft

Rik Turner, Senior Analyst im Infrastructure Solutions Team bei Ovum, sagte, dass sich die
Motivation für Cyberangriffe dramatisch verändert hat. Es geht nicht mehr um Angriffe der sogenannten „Skriptkiddies“, denen es an umfassenden Programmierkenntnissen fehlt und die in Hollywood-Filmen wie „Hackers – Im Netz des FBI“ zu Idolen hochstilisiert wurden. US-Krankenversicherer Anthem zum Beispiel gab bekannt, dass bei einem Hackerangriff die Daten von Millionen von Kunden gestohlen wurden und sich das Ausmaß des Datendiebstahls noch gar nicht abschätzen lässt. „Das ist ein Riesengeschäft und dabei ganz einfach“, unterstrich Turner. „Im Netz findet man problemlos eine Software, die schon häufig genutzt wurde, nimmt ein paar Anpassungen vor, damit sie sich anders verhält und nur schwierig entdecken lässt. Das ist alles.“

Andreas Gloege, Director von Quality Assurance Solutions bei der SAP, bestätigt, dass es bei Cyberattacken um viel Geld geht. Den Hackern bringen die Informationen einer einzelnen Kreditkarte bis zu 45 US-Dollar ein. Seiner Ansicht nach ist es entscheidend, dass IT-Sicherheit täglich gelebt wird, ohne dass der Geschäftsbetrieb darunter leidet. „Wir sollten täglich an Cybersicherheit denken und diese auch praktizieren. Sie sollte uns aber nicht behindern oder verlangsamen“, sagte Gloege. „Es geht vielmehr darum, sicher und ohne zusätzliche Hürden den Produktivbetrieb von Anwendungen aufnehmen zu können.“

Sicherheit in der Cloud

Konsumgüterhersteller entwickeln häufig Anwendungen für Werbeaktionen wie etwa für den Super Bowl oder andere Veranstaltungen. Tatsächlich erstellen sie damit aber Softwareanwendungen, die mit ihren Geschäftsabläufen verknüpft sind und über die sie kaum eine Kontrolle haben, so Gloege. „Sie haben vielleicht einen externen Dienstleister mit der Entwicklung beauftragt. Die Anwendungen laufen dann irgendwo in der Cloud, sodass die Unternehmen nur wenige Kontrollmöglichkeiten haben. Vor fünf bis zehn Jahren dagegen verliehen ihnen die Schutzmaßnahmen in Höhe von Milliarden von Dollar noch eine gewisse Sicherheit“, sagte Gloege. „Sie müssen diese Anwendung absichern, bevor sie über die Cloud bereitgestellt wird. Erst dann ist sie wirklich sicher.“ Gloege betont, dass es auf lange Sicht Cyberbedrohungen immer wieder geben wird und Sensibilisierung und Vorbeugung das beste Mittel dagegen sind. „Unternehmen, Gesetzgeber und Nutzer – wir alle müssen wachsam sein, auf dem Laufenden bleiben und lernen, wie wir unsere eigenen Daten schützen können. Um diesen langfristigen Schutz zu garantieren, müssen aber auch die Sicherheitsmechanismen für alle diese Technologien auf dem neuesten Stand sein. Ich glaube, dass wir hier immer besser werden, aber wir haben noch einen weiten Weg vor uns.“

Coffee Break with Game-Changers

 

 

Den gesamten Radiobeitrag „Final Security Frontier: Application Layer“ können Sie im SAP Game-Changers Radio hören.

 

Folgen Sie Tim Clark auf Twitter unter @TClark01. Dieser Artikel wurde auch auf SAP Business Trends und forbes.com veröffentlicht.

Tags: , , ,

Leave a Reply