Ganz gleich ob AOL, Amazon, Facebook, Paypal oder andere Unternehmen: Es vergeht kaum ein Tag ohne Meldung in den Medien, dass sich Hacker unerlaubten Zutritt zu Unternehmensnetzwerken verschafft haben und dabei an sensible Daten und Informationen gelangt sind. Die Folgen können Imageverluste, aber auch Umsatz- und Gewinneinbußen sein; außerdem kann es zu Rechtsstreitigkeiten kommen.

Dabei erfolgen 75 Prozent aller Hacker-Attacken auf dem Applikationslevel, wie Gartner feststellt. SQL Injection und Cross-site Scripting gehören dabei zu den beliebtesten Methoden der Eindringlinge.

Im krassen Gegensatz zur Wichtigkeit der Applikationssicherheit steht das Budget, das die Unternehmen dafür aufwenden: Gerade einmal 20 Prozent der IT-Security-Budgets in Deutschland entfallen nach der Studie "2013 Cost of Cyber Crime Study: Germany" des Ponemon Institute auf den Application-Layer. Sowohl dem Netzwerk- als auch dem Daten-Layer werden deutlich mehr Aufmerksamkeit und Geld gewidmet.

Doch letztlich reicht auch der Einsatz dieser Werkzeuge nicht, um die Sicherheit von Anwendungen dauerhaft zu gewährleisten. Denn das zunehmende Entwicklungstempo und die steigende Komplexität von Software stellen die Softwareentwickler und damit auch die Sicherheit der Anwendungen vor neue Herausforderungen.

Zudem stellt das Fehlen von Standardlösungen zum Beispiel für Identitäts- und Access-Management oder Verschlüsselung - die über ein Architektur-Management im Unternehmen definiert werden sollten - ein Problem dar. Hinzu kommt, dass Entwicklungsteams oft weltweit verteilt an einem Projekt arbeiten, unterstützt noch durch externe Partner.

Ganzheitlicher Ansatz über den gesamten Application Lifecycle

"Vor diesem Hintergrund wird klar, dass sichere Applikationsentwicklung einen ganzheitlichen Ansatz über den gesamten Lebenszyklus erfordert - angefangen bei der Projektbeantragung und -genehmigung über den Einkauf externer Leistungen, den Entwicklungsprozess, Änderungen während des operativen Betriebs bis hin zur Stilllegung der Applikation", sagt Peter Maucher, Experte bei HP Enterprise Security Services.

Entsprechende Prozesse, Regeln und Standards im Unternehmen sind die Eckpfeiler eines sicheren Software-Entwicklungslebenszyklus. Ausgangspunkt dafür kann Kapitel A14 der ISO 27001, der internationalen Zertifizierungsnorm für Informationssicherheitsmanagementsysteme, sein. In der 2013 veröffentlichten Neuerung geht es um Sicherheit in Entwicklungs- und Unterstützungsprozessen. Gefordert wird, Regeln und Grundsätze zur Entwicklung sicherer Software und sicherer Systeme aufzustellen und umzusetzen.

Ergänzende Kontrollen beinhalten das Entwickeln ausschließlich speziell gesicherter Entwicklungsumgebungen und die Durchfu?hrung gezielter Funktionstests der entwickelten Sicherheitsfunktionen. "Im Kapitel A14 der ISO 27001 geht es wirklich nur um Basics, die eine Anwendung definitiv noch nicht sicher machen. Doch selbst Unternehmen, die sich nach ISO 27001 zertifizieren lassen, klammern dieses Kapitel häufig noch aus", weiß Maucher aus Erfahrung.