Eine Kette ist immer nur so stark wie ihr schwächstes Glied - und das schwächste Glied in Sachen IT-Sicherheit scheint der Mensch zu sein. Das legt zumindest die Studie "Securing your applications" nahe, für die der US-Marktforscher Aberdeen Entscheider aus mehr als 150 Unternehmen befragt hat. Fazit: Den Unterschied macht weniger die Technik als vielmehr Kommunikation und Schulungen.
Dabei weisen die Analysten ihre Studienteilnehmer, wie bei Aberdeen üblich, drei Kategorien zu. Besonders erfolgreiche Firmen dürfen sich "Best in Class" (Bic) nennen. Sie stellen 20 Prozent des Feldes. Die Unternehmen mit den schlechtesten Ergebnissen gelten als "Laggards", deutsch: Trödler. Dazu zählen 30 Prozent der Befragten. Die verbleibenden 50 Prozent bilden das Mittelfeld.
In dieser Studie ging es speziell um Sicherheit rund um IT-Anwendungen. Die Unterschiede zwischen den Befragten zeigen sich wie folgt: Die Bics senkten die Zahl Applikations-bezogener Sicherheitsverletzungen binnen Jahresfrist um 2,2 Prozent. Die Firmen im Mittelfeld dagegegen verzeichneten einen einprozentigen Anstieg, die Nachzügler sogar einen Anstieg um knapp neun Prozent. Außerdem gingen Anwendungs-bezogene Audit-Mängel bei den Bics um 3,3 Prozent zurück. Das Mittelfeld musste hier einen Zuwachs von 2,2 Prozent hinnehmen, die Laggards um 8,6 Prozent.
Darüberhinaus verringerten die Vorzeigefirmen die Dauer für die Fehlerbehebung um 3,8 Prozent, während die Durchschnittsfirmen 1,9 Prozent mehr Zeit brauchen. Bei den Nachzüglern dauert die Fehlerbehebung 7,6 Prozent länger.
Diese Diskrepanzen resultieren vor allem aus der Art, wie Unternehmen die Sicherheit von IT-Anwendungen managen. So stellen 71 Prozent der Bics (Mittelfeld: 57 Prozent, Trödler: 50 Prozent) ein Team oder einen Einzelnen ab, der dieses Thema verantwortet. Außerdem definieren zwei von drei Bics Kommunikationskanäle zwischen Sicherheitsverantwortlichem, Operations und Entwicklungs-Team (Mittelfeld: 49 Prozent, Laggards: 47 Prozent).
Kommunikation wird demnach groß geschrieben bei den Vorzeigefirmen. Die anderen Studienteilnehmer haben das zumindest in einem Punkt verstanden: Bei Sicherheitsschulungen und -Trainings. Hier unterscheiden sich die Zahlen kaum: 41 Prozent der Bics, 39 Prozent des Mittelfeldes und 38 Prozent der Nachzügler schulen das Bewusstsein ihrer Entwickler für mögliche Gefahren und schicken sie in Security-Trainings.
Beim Einsatz von Tools zur Wahrung der Sicherheit von Applikationen liegen Netzwerk-Firewalls, Intrusion Detection/Prevention und Network Vulnerability Scanner vorn. Außerdem sind Tools für Penetration Testing und Application Vulnerability Scanner im Einsatz.
Schutz von Unternehmen und Marken
Die Analysten haben außerdem nach den Treibern für Initiativen rund um Anwendungssicherheit gefragt. Aus dem Bereich Risk Management nennen die Studienteilnehmer folgende: Schutz von Unternehmen und Marken (Bics: 61 Prozent, alle anderen: 52 Prozent) und vertrauensbildende Maßnahmen gegenüber dem Endverbraucher (Bics: 58 Prozent, alle anderen: 35 Prozent). Erst an dritter Stelle nennen sie die Notwendigkeit, Anwendungen vor Risiken zu schützen (Bics: 31 Prozent, alle anderen: 25 Prozent).
Die anderen Gründe fasst Aberdeen unter dem Stichwort Compliance zusammen. Das sind: Interne Policies (Bics: 33 Prozent, alle anderen: 32 Prozent) und Branchen-Standards beziehungsweise Best Practices. Hier liegen die Musterschüler hinter den anderen Studienteilnehmern - 28 Prozent der Bics gegenüber 39 Prozent aller anderen kreuzen diesen Punkt an.
Weitere Treiber sind Vorgaben von Regierungen, wie - über alle Kategorien hinweg - mit 22 Prozent gut jeder Fünfte zu Protokoll gibt. 22 Prozent der Bics nennen außerdem Regularien der Branche (alle anderen: dreizehn Prozent).
Anwendungssicherheit ist komplex
Die Hauptschwierigkeit bei der Sicherheit ihrer Anwendungen sehen alle Befragten in der Komplexität dieses Unterfangens. Wie Aberdeen berichtet, verfügt ein Unternehmen im Schnitt über ein Portfolio von 130 Applikationen - Tendenz steigend.