Entwickler im Homeoffice

Wie Risiken im Homeoffice durch automatisierte Anwendungssicherheitstests reduziert werden
Keine Kommentare

Die aktuelle Corona-Krise zwingt viele Unternehmen zu Remote Work. In unserer technologischen und vernetzten Welt bedeutet das Homeoffice aber auch, dass sich für Cyber-Kriminelle neue Angriffsflächen und Möglichkeiten bieten. Wie diesen neuen Gefahren entgegengewirkt werden kann, erklärt Daniel Wolf, Regional Director DACH bei Contrast Security, in diesem Artikel.

Diese zwei vergangenen Monate werden unvergessen bleiben: Die großen wirtschaftlichen und sozialen Auswirkungen des Coronavirus (COVID-19) verändern gerade die Lebens- und Arbeitsweise massiv. Von globalen Reisebeschränkungen bis hin zur Absage von Veranstaltungen sind die betroffenen Unternehmen und weiteren Organisationen zu einem schnellen Handeln gezwungen, um agil auf die sich ständig ändernden Auswirkungen von COVID-19 zu reagieren.

Plötzlich eine „Homeoffice Workforce“

Am 12. März erklärte die Weltgesundheitsorganisation (WHO) den COVID-19-Ausbruch zur Pandemie. Es folgten Hunderte von Ankündigungen von weltweit agierenden Unternehmen: Darin wurden die Mitarbeiter aufgefordert, von zu Hause aus zu arbeiten. Während einige Unternehmen bereits für die Unterstützung einer virtuellen Belegschaft ausgerüstet sind, wagen sich viele andere gerade in völlig neue Gewässer. Schließlich erfordert Remote Work in Teamstrukturen zusätzliche Maßnahmen zur Identitätsprüfung, eine breitere Verwendung von Verschlüsselung und viele weitere Parameter, die sich von der typischen Arbeitsplatzumgebung unterscheiden.

Die Arbeit aus dem Homeoffice während des COVID-19-Ausnahmezustands ist alles andere als typisch. Der berufliche Alltag wird plötzlich in die eigenen vier Wände gedrängt, und dies geschieht allzu oft ohne Vorbereitung, Warnungen oder Lösungen für die Mitarbeiter. Wer daran gewöhnt ist, im Büro und immer im persönlichen Kontakt zu den Kollegen zu arbeiten, steht so vor großen und individuell verschiedenen Herausforderungen. Manche Mitarbeiter verfügen vielleicht über keinen sinnvoll eingerichteten Arbeitsplatz, der Produktivität gewährleistet. Die flächendeckenden Kita- und Schulschließungen verschlimmern die Situation weiterhin, da die notwendige Kinderbetreuung und das Homeschooling auch eine ständige Ablenkung von der Arbeit darstellen.

Cyberkriminelle nutzen neue Chancen

Cyberkriminelle legen hingegen keine Pause ein, sondern nehmen jetzt erst recht Fahrt auf, um die Situation auszunutzen: Mitarbeiter werden im Homeoffice mit Malware bombardiert und Phishing-Kampagnen gestartet. Untersuchungen zufolge sind Domains mit Coronavirus-Themen doppelt so häufig böswillig als andere. Mitarbeiter, die auf Links klicken, um weitere Informationen zu erhalten, setzen sich selbst und ihr Unternehmen unwissentlich großen Risiken aus.

Denn nur weil die Arbeitnehmer jetzt von zu Hause aus arbeiten, bedeutet das nicht, dass sie von ihrem Unternehmensnetzwerk getrennt sind. Vielmehr sind sie weiterhin ständig damit verbunden, zum Beispiel via VPN-Tunnel in ihrem persönlichen WiFi-Netzwerk.
Diese Art von Verbindung erweitert die Angriffsfläche und ist oft sehr viel leichter zu infiltrieren als ein Unternehmensnetzwerk. Zusätzlich birgt die Arbeit an privaten Laptops und Tablets – die häufiger in einer Homeoffice-Situation verwendet werden – eine erhöhte Gefahr, Daten leichter zu übertragen, ohne das Risiko zu bemerken.

Diese Schwachstellen und Angriffstypen sollten die Entwickler auf dem Radar haben

Zusätzlich zu den Herausforderungen, die Entwickler in Bezug auf ihre Produktivität und Konzentration im Zwangs-Homeoffice zu meistern haben, steigt die ohnehin bestehende Gefahr von Anwendungsschwachstellen und Angriffen. Software-Applikationen sind weltweit Hauptvektoren für Attacken. Unternehmen drohen durch Angriffe Daten zu verlieren – ganze Systeme können kompromittiert werden bis hin zur kompletten Einschränkung des Betriebs. Außerdem erleiden Marken einen kritischen Imageschaden, wenn Kundendaten gestohlen werden. Die Anwendungssicherheit darf also zu keinem Zeitpunkt in den Hintergrund rücken und verlangt eine besondere Aufmerksamkeit seitens der IT-Sicherheitsexpererten. Zu diesem Zweck werten regelmäßige Untersuchungen – etwa von Contrast Security – Daten von realen Angriffen und Schwachstellen von Anwendungen aus und dienen Developer- und Sicherheitsteams als Grundlage für optimierte Schutzstrategien.


So stellt der aktuelle AppSec Intelligence Report – eine Datenübersicht aus den Monaten Januar und Februar 2020 – Folgendes fest: Im Januar und Februar ist Cross-Site-Scripting (XSS) die bei weitem häufigste entdeckte Schwachstelle, die in 25 Prozent der Gesamtanwendungen und in 31 Prozent der Java-Anwendungen auftritt. Im Durchschnitt wurden pro Anwendung 18 Cross-Site-Scripting-Schwachstellen (XSS-Schwachstellen) gefunden. Allerdings ist die Anzahl von ermittelten Schwachstellen von Anwendung zu Anwendung sehr unterschiedlich, und die XSS-Schwachstellen betreffen nur 25 Prozent aller Applikationen. Ebenso existieren durchschnittlich zwölf SQL-Injection-Schwachstellen pro Anwendung, was etwa neun Prozent aller Applikationen betrifft. Insgesamt wiesen elf Prozent der Anwendungen im Januar und Februar 2020 mehr als 15 Schwachstellen auf, was einen Trend ableiten lässt: Eine große Anzahl ernsthafter Schwachstellen fällt auf eine Teilmenge von Anwendungen.

Auch das Angriffsvolumen erwies sich im untersuchten Zeitraum als recht hoch – eine durchschnittliche Applikation war in den ersten zwei Monaten des Jahres 2020 von mehr als 20.000 Angriffen betroffen. Die große Mehrheit der Anwendungen erhielt eingehende Angriffe, die auf Path Traversal, XSS- und SQL-Injection-Schwachstellen abzielten, aber auch die Command-Injection-Angriffe sind weit verbreitet und trafen auf fast die Hälfte aller Applikationen zu.

Unternehmensrisiko durch abgelenkte Entwickler

Angesichts der Bedrohungslage bedeutet Ablenkung für Entwickler, die Code schreiben, immer ein Problem. Dies gilt insbesondere für Entwickler, die nicht daran gewöhnt sind, Code in ihrer häuslichen Umgebung zu schreiben. Ein abgelenkter Entwickler kann unwissentlich simple Fehler machen, die Schwachstellen im Code nach sich ziehen. Ein Mangel an Fokussierung kann auch dazu führen, dass Schwachstellen übersehen werden, die bei der konzentrierten Arbeit im Büro eher aufgefallen wären.

Schwachstellen-Warnungen können auch Code-Commits und Entwicklungszyklen verlangsamen. In der Tat ist die sogenannte „Alarm Fatigue” ein ernstzunehmendes Problem, selbst für Entwickler, die in traditionellen Büroumgebungen arbeiten. Da die Überprüfung jedes Alarms mehr als zehn Minuten dauert und fast 50 Prozent davon falsch-positiv sind, können Warnungen – sowohl legitime als auch falsche – die Produktivität der Entwickler erheblich beeinträchtigen.

Tipps für Entwickler, um konzentriert und produktiv zu bleiben

Wie aber können Entwickler, die sich im Homeoffice „auf unbekanntem Terrain” befinden, konzentriert und produktiv bleiben? Gerade in Bezug auf die Anwendungssicherheit lautet die Lösung Automatisierung. Hier ein paar Empfehlungen, die die Arbeit erleichtern und die Ablenkung auf ein Minimum reduzieren, damit sich Entwickler den wirklich relevanten Schwachstellen widmen können (und mehr Zeit auch für die Kinderbetreuung gewinnen):

Beenden des Coding-Stillstands: Herkömmliche Ansätze zur Anwendungssicherheit (AppSec) können selbst für Entwickler in einer Büroumgebung eine große Ablenkung darstellen. Statische Anwendungssicherheitstests (SAST) stoppen Code-Commits, während der Code auf Schwachstellen geprüft wird und diese dann manuell behoben und verifiziert werden müssen. Stattdessen können die Entwickler das AppSec-Konzept in die Anwendung integrieren, sodass Schwachstellen bereits während der Programmierung identifiziert und behoben werden können.

  • Automatisierung, wo diese möglich ist: Produktivitätssteigerungen sind heute in praktisch jeder professionellen Funktion oft an Automatisierung gebunden. Entwickler haben keine Zeit für die manuelle Identifizierung von Schwachstellen und die Verifizierung der entsprechenden Abhilfemaßnahmen. Sie benötigen daher eine AppSec-Plattform, die sie von diesen Aufgaben entlastet.
  • Bestimmung der Schwachstellen-Warnungen, auf die es wirklich ankommt: Ständige Unterbrechungen, die mit Schwachstellen-Warnungen verbunden sind, und die Zeit, die erforderlich ist, um diese tagtäglich zu durchsuchen, verschwenden wertvolle Produktivität und verlangsamen gleichzeitig die Software-Release-Zyklen. Anstatt jede Schwachstelle zu lokalisieren, benötigen Entwickler eine AppSec-Plattform, die die Liste auf die wichtigsten Schwachstellen beschränkt – nämlich in der Umgebung und Konfiguration, die für den Entwickler und die Anwendung relevant sind.
  • Falsch-positive Ergebnisse verwerfen: Fehlalarme können sowohl bei Entwicklern als auch bei Sicherheitsexperten, die für deren Behebung oft zusammenarbeiten müssen, die Produktivität beeinträchtigen. Instrumentierungsbasiertes AppSec kann Fehlalarme praktisch eliminieren, indem es die von den Anwendungen benutzten Wege verfolgt, anstatt den Code anhand einer Blacklist zu testen.
  • Shift-Left-Methode, um den Korrekturaufwand zu reduzieren: Viele traditionelle Sicherheitsansätze konzentrieren sich auf die Identifizierung und Behebung von Schwachstellen in der Testphase des Softwareentwicklungszyklus kurz vor dem Release. Tatsächlich aber kostet das Warten auf die Behebung von Schwachstellen in dieser Phase des Entwicklungsprozesses sehr viele Stunden. Die Verlagerung der Identifizierung von Schwachstellen in die Build-Phase, insbesondere in Verbindung mit kontinuierlichen Echtzeit-Tests, kann eine erhebliche Zeitersparnis und damit schnellere Release-Zyklen bedeuten.

In Zeiten, in denen Developer und Security-Teams unter eingeschränkten Bedingungen arbeiten, darf Anwendungssicherheit niemals aus dem Fokus der übergeordneten Sicherheitsstrategie im Unternehmen geraten. Application Security ist heute unternehmensintern immer noch ein Randthema, das als sperrig, schwierig und teuer gilt. Kein Wunder also, dass Entscheider Budgets eher für Endpoint- und Netzwerk-Security sowie für Identity- und Access-Management einplanen. Gerade jetzt aber gilt es, Entwicklern die Arbeit zu erleichtern und Konzentration und Produktivität zu stärken: Es wird Zeit, dem Thema Anwendungssicherheit mehr Aufmerksamkeit zu schenken.

Daniel-WolfDaniel Wolf ist als Regional Director DACH für den Ausbau der Geschäftstätigkeiten von Contrast Security sowie die Betreuung bestehender Kunden und Partner in Deutschland, Österreich und Schweiz zuständig. Am Standort in München leitet Wolf das Vertriebsteam und den Channelpartner-Ausbau.
Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -