Hacker geben sich längst nicht mehr damit zufrieden, irgendwie und irgendwo ein Firmennetzwerk lahmzulegen. Wie die Analysten von Aberdeen beobachten, nehmen sie gezielt Unternehmens-Anwendungen ins Visier. Wer bei diesem Katz-und-Maus-Spiel nicht auf der Strecke bleiben will, sollte den Sicherheits-Status der Applikationen in Echtzeit überwachen. Real-time deswegen, weil Attacken auf Anwendungen meist als sich wiederholende Abfolgen gestartet werden.
Im Schnitt beobachten aber nur vier von zehn Unternehmen ihre Anwendungen in Real-time. Dabei unterteilt Aberdeen die Firmen je nach ihrer Performance bei Sicherheit und Compliance in drei Kategorien: "Best in Class" (BiC), Durchschnitt und Nachzügler ("Laggard"). Von den BiCs haben sich bereits 58 Prozent für das Real-time Monitoring entschieden.
Außerdem sind sie in anderen Punkten Vorreiter: 89 Prozent testen die Qualitäts-Sicherung ihrer Software, unter den Durchschnittsfirmen sind es nur 59 Prozent. In der Gruppe der Schlusslichter verzichtet sogar jeder zweite Teilnehmer darauf.
Extra-Firewalls für Web-Anwendungen
Unterschiede zeigen sich auch bei den Firewalls: Mit Netzwerk-Firewalls arbeitet jedes "BiC"-Unternehmen, 84 Prozent haben zusätzlich Firewalls für die Web-Anwendungen eingeführt. Im Mittelfeld sind diese nur bei 69 Prozent der Firmen in Einsatz, unter den Nachzüglern nur bei 41 Prozent.
Die Resultate sprechen für sich: Die zu "Best in Class" geadelten Studienteilnehmer konnten die verfügbare Betriebszeit ihrer Anwendungen um dreizehn Prozent steigern. Die Durchschnittsfirmen erreichen nur eine Verbesserung um vier Prozent und die Nachzügler verzeichnen überhaupt keine Veränderung.
Beispiel Vorfälle mit Datenverlust: Während die Musterschüler einen Rückgang um neun Prozent verzeichnen, bleibt der Durchschnitt bei plus/minus Null. Die Schlusslichter mussten sogar eine Steigerung um drei Prozent hinnehmen. Außerdem sind Attacken auf die Applikationen bei den besonders erfolgreichen Unternehmen um zwölf Prozent rückläufig. Im Mittelfeld haben sie aber um ein Prozent zugenommen, bei den leistungsschwachen Unternehmen um zwei Prozent.
Diese Ergebnisse resultieren nicht allein aus dem unterschiedlichen Software-Einsatz. Es geht auch um Fragen der Organisation: 84 Prozent der mustergültigen Firmen haben den Sicherheits-Policies ihres Unternehmens eine Anwendungs-Sicherheits-Policy beigefügt. Bisher haben erst 61 Prozent der Durchschnittsfirmen nachgezogen, unter den Schlusslichtern ist es mit 52 Prozent nur rund jede Zweite.
Sicherheit ist auch eine Frage des Budgets
Außerdem haben 61 Prozent der "BiCs" einen zentralen Verantwortlichen für die Anwendungs-Sicherheit ernannt. Im Mittelfeld trifft das nur auf 49 Prozent der Unternehmen zu, bei den Schlusslichtern nur auf 24 Prozent. Dabei geben die Analysten zu Bedenken, dass im Störfall wertvolle Zeit verloren geht, wenn die Zuständigkeiten nicht eindeutig geregelt sind.
Nicht zuletzt ist die Sicherheit von Netz und Anwendungen auch eine Frage des Geldes. Die Autoren der Studie wollen Application Security denn auch als Teil von Compliance und Unternehmenssicherheit und damit als Daueranliegen verstanden wissen. Es handle sich weder um eine Punkt-Lösung noch um einen simplen Prozess. Unternehmen sollten ausreichend Budget dafür bereitstellen.
Aberdeen hat für die Studie "Application Security: Protect sensitive data while improving compliance" mit Entscheidern aus 120 global tätigen Unternehmen gesprochen.