Unternehmen mit eLearning können 75 Prozent ihrer Schwachstellen reparieren, jene ohne eLearning nur 58 Prozent. Um die Anwendungssicherheit zu erhöhen, müssen Unternehmen ihren Entwicklungszyklus sichern und ihre Mitarbeiter weiterbilden, erklärt silicon.de-Blogger Julian Totzek-Hallhuber.
Unternehmensnetzwerke sind heute so sicher, dass sich Angreifer lieber auf eine leichtere Beute konzentrieren: Anwendungen. Denn mit einer einfachen Firewall-Appliance ist es hier nicht getan. Die Veracode-Studie zur Anwendungssicherheit “State of Software Security” macht die Probleme deutlich: vier von fünf Anwendungen, die in Skriptsprachen geschrieben wurden, haben mindestens eine schwerwiegende Sicherheitslücke. Vor allem PHP-Anwendungen sind betroffen.
Doch wie lässt sich die Anwendungssicherheit erhöhen? Die Vorgaben des PCI-DSS geben dabei schon zwei Lösungsansätze vor: Unternehmen müssen ihren Entwicklungszyklus sichern und ihre Mitarbeiter weiterbilden. 84 Prozent der gehackten Unternehmen haben diese Anforderungen nicht erfüllt. Es ist der Druck, der Mitarbeiter immer wieder vor die Frage stellt, ob sie sich die Zeit nehmen, um Probleme nachhaltig in den Griff zu bekommen oder nur schnell das Nötigste lösen. Dieses Zögern kann die Sicherheit bereits gefährden. Es ist daher wichtig, von Anfang an das Management in die Trainingsplanung mit einzubinden: mit einem Lehrplan, einer Erwartungshaltung in Form von messbaren Zielen sowie einer Strategie für den Fall, dass die Ziele nicht eingehalten werden.
Trainingserfolge richtig messen
Sehr zur Verzweiflung vieler CISOs lässt sich Prävention schlecht messen. Es ist schwierig festzustellen, welche Schwachstellen sich möglicherweise hätten einschleichen können, aber dank der Weiterbildung des Entwicklers in sicherer Coding-Praxis entdeckt wurden. Am effektivsten ist es daher meist, Reparaturen zu messen, die an einem Stück Code vorgenommen wurden, das aus der Zeit vor dem Training stammt.
Eine weitere Herausforderung besteht darin, die individuelle Erfahrung eines Entwicklers und seine Lernerfolge durch die Weiterbildung mit der Fehlerrate der Software zu korrelieren, da für eine bestimmte Anwendung oft mehrere Entwickler verantwortlich sind. Ein brauchbarer Ansatz ist der Zusammenhang zwischen dem Einsatz von eLearning und verbesserten Fehlerraten.
Wenn man die Rate zur Grundlage nimmt, in der Codefehler gefunden und repariert werden und Unternehmen mit eLearning-Programm beobachtet, so ergibt sich folgendes Bild: Unternehmen mit eLearning können 75 Prozent ihrer Schwachstellen reparieren, jene ohne eLearning nur 58 Prozent.
Bei Unternehmen, die an neuer Software arbeiten, misst man die Zahl der Fehler pro Megabyte neuem Code. Veracode hat diese Kennzahl bei vielen seiner großen und kleineren Kunden gemessen und konnte eine deutliche Steigerung feststellen: Unternehmen mit eLearning leiden unter 35 Prozent weniger Fehlern pro MB neuem Code als Unternehmen ohne ein solches Trainingsprogramm.
Dieser Befund legt nahe, dass eLearning mit einer besseren Fehlerrate korreliert. Es ist jedoch wahrscheinlich, dass zusätzliche Faktoren eine Rolle spielen, wie die effektive Umsetzung von Vorgaben zur Anwendungssicherheit oder der Einsatz von Remediation Coaching und Simulationen. Phishing ist ein gutes Beispiel: Vor dem Security Awareness Training, kurz SAT, kann ein Unternehmen eine Phishing-Simulation durchführen und messen, wie viele Mitarbeiter betroffen sind. Nach dem Training wird die Simulation wiederholt. Die Zahl der Opfer lässt sich mit einem SAT-Basistraining bereits um 50 Prozent reduzieren.
Weiterbildung funktioniert!
Weiterbildungen und Sicherheitstrainings helfen: Sie senken nachweislich das Risiko von Phishing-Angriffen bereits nach einem Training um die Hälfte. Mischungen aus Basis-Trainings zum Sicherheitsbewusstsein und spezialisierten rollenbasierten Trainings können die Reparaturrate von Schwachstellen um 30 Prozent verbessern sowie die neu eingeführten Fehler um 35 Prozent verringern.
Für den Erfolg dieser Trainingsprogramme ist es essenziell, Weiterbildung als kontinuierlichen Prozess zu begreifen – ob in Form von eLearning, mit persönlicher Anleitung oder in einem Mentorenprogramm – und diese Einstellung in der Unternehmenskultur zu verankern. Dabei helfen ein klares Bekenntnis des Managements zum Sicherheitstraining, persönliche Zielvereinbarungen, mögliche Zertifizierungen für Spezialisten sowie eine nachweisliche Messbarkeit des Trainingsprogramms, um Fortschritte klar zu zeigen.