Warum Sie Sicherheitstests für geschäftskritische Anwendungen benötigen: Teil 3

Von:

23. Juni 2022

In dieser fünfteiligen Blogserie erörtern wir, wie wichtig es ist, geschäftskritische Anwendungen mithilfe von Anwendungssicherheitstests sicher zu entwickeln. Im ersten Teil haben wir dargelegt, dass Geschwindigkeit zwar die treibende Kraft hinter der Anwendungsentwicklung ist, die termingerechte Bereitstellung von Anwendungen jedoch oft auf Kosten der sicheren Entwicklung geht. In unserem zweiten Blogbeitrag erklären wir, wie Anwendungssicherheitstests dabei helfen können, die Arbeit von Auftragnehmern und externen Entwicklern zu validieren, um sicherzustellen, dass sie qualitativ hochwertigen und sicheren Code schreiben. Dieser Beitrag konzentriert sich darauf, wie Anwendungssicherheitstests Code auf Fehler überprüfen können, um sicherzustellen, dass er fehlerfrei bleibt.

Sauberer Code ist Code, der leicht verständlich ist und den Best Practices für sicheres Programmieren folgt, um das Risiko von Sicherheitslücken zu minimieren. Es ist von entscheidender Bedeutung, bestehenden, maßgeschneiderten Code zu scannen, um Sicherheitslücken zu identifizieren und zu beheben sowie die Qualität zu überprüfen. Ohne das richtige Tool kann die Erstellung von sauberem Code jedoch eine Herausforderung darstellen, wenn man mit dem enormen Druck konfrontiert ist, neue Funktionen schnell zu entwickeln und so rasch wie möglich in die Produktion zu bringen.

Grund 3: Halte deinen Code übersichtlich

Unternehmen, die ihre Geschäftsprozesse auf SAP-Systemen abwickeln, setzen SAP-Entwickler ein, um Code zu schreiben und maßgeschneiderte Anwendungen zu entwickeln, die ihren Anforderungen entsprechen. Bei diesen Entwicklern kann es sich um eigene Mitarbeiter, Auftragnehmer von externen Beratungsfirmen oder Systemintegratoren handeln. Die Entwicklung erfolgt unter Verwendung von SAP-spezifischen Sprachen und Testwerkzeugen, oft unter hohem Zeitdruck und ohne ausreichende Automatisierungstools zur Unterstützung dieser Arbeiten.

Die zunehmende Komplexität und die ständigen Änderungen, die erforderlich sind, um Anwendungen termingerecht bereitzustellen, machen es Entwicklern schwer, mit den Anforderungen Schritt zu halten. Die große Anzahl kundenspezifischer SAP-Anwendungen – im Durchschnitt enthält jedes SAP-System zwei Millionen Zeilen individuell entwickelten Codes– bedeutet zudem, dass manuelle Überprüfungen unpraktisch, unzureichend und äußerst zeitaufwendig sind. Tatsächlich Onapsis Research Labs , dass in jeweils tausend Codezeilen sowohl ein kritisches Sicherheitsproblem als auch ein kritisches Leistungsproblem auftritt. Dies entspricht etwa 4.000 kritischen Problemen pro System, von denen jedes einzelne zu unentdeckten Sicherheitslücken führen kann. Jedes dieser Probleme könnte potenziell den Betrieb, die Finanzen oder den Ruf des Unternehmens schädigen. Eine schlechte Codequalität kann sich zudem negativ auf die Leistung des Systems auswirken. In beiden Fällen kann die Entdeckung von Fehlern in einer späten Phase des Entwicklungszyklus oder bereits in der Produktion erhebliche Kosten verursachen.

Sich reinigen

Für Unternehmen ist es entscheidend, diese Fehler frühzeitig im Entwicklungszyklus schnell und automatisch zu erkennen, bevor sie in die Produktion gelangen, um ihre geschäftskritischen Anwendungen angemessen zu sichern. Im DevSecOps-Ansatz können Sicherheits- und Qualitätsfehler bereits während der Programmierphase von den Entwicklern erkannt werden. Das richtige Tool ist entscheidend, um Entwicklern während des Programmierens Echtzeit-Feedback zu geben und ihnen so zu helfen, Probleme zu beheben, bevor der Code in die nächste Phase übergeht. Dadurch wird verhindert, dass sicherheitsrelevante Probleme als zeitaufwändige und kostspielige Nachbetrachtung angesehen werden.

Die Einführung sicherer Programmierpraktiken beseitigt häufig ausgenutzte Schwachstellen und verhindert, dass Cyberkriminelle diese ausnutzen können. Die Einbeziehung von Sicherheitsaspekten von Anfang an trägt dazu bei, langfristige Kosten zu senken, die entstehen können, wenn ein Angriff zum Verlust sensibler Daten führt. Ein aktueller Onapsis Research Labs hat Hinweise darauf gefunden, dass Angreifer ungesicherte SAP-Anwendungen mit einer Vielzahl von Taktiken, Techniken und Verfahren (TTPs) ins Visier nehmen und ausnutzen. Bei diesen Angriffen handelt es sich nicht einfach um Brute-Force-Versuche. Einige Angriffe verketten mehrere Schwachstellen miteinander – darunter auch neue Schwachstellen, die durch benutzerdefinierten Code eingeführt wurden –, um bestimmte Anwendungen für böswillige Zwecke anzugreifen.

Sauber bleiben 

Es ist von entscheidender Bedeutung, nicht nur bestehenden, individuell entwickelten Code zu scannen, Schwachstellen zu identifizieren und zu beheben; Unternehmen müssen kontinuierlich sicherstellen, dass neuer Code ordnungsgemäß erstellt wird. Die Ausrichtung an einem standardisierten Cybersicherheits-Framework, wie beispielsweise dem NIST Cybersecurity Framework, kann dazu beitragen, dass Ihr Code sicher bleibt. Eines der Elemente des NIST Cybersecurity Framework ist eine Reihe von Standards, Richtlinien und Best Practices für das Management von Cybersicherheitsrisiken. Das Ziel dieses Frameworks besteht darin, Cybersicherheitsmaßnahmen anhand von geschäftlichen Faktoren zu steuern sowie Cybersicherheitsrisiken als Teil des gesamten Risikomanagementprozesses des Unternehmens zu berücksichtigen und einzubeziehen. Unternehmen sollten sich sowohl interner als auch externer Bedrohungen bewusst sein, die in bereits entwickeltem Code sowie in Code in der Entwicklung lauern, und in der Lage sein, potenzielle geschäftliche Auswirkungen und die Wahrscheinlichkeit solcher Auswirkungen sowohl für veröffentlichten Code als auch für Code in der Entwicklung zu vermitteln. 

Es gibt eine bessere Möglichkeit, Anwendungssicherheitstests für Ihre geschäftskritischen Anwendungen durchzuführen: Onapsis Control. Onapsis Control Anwendungssicherheitstests, einschließlich automatisierter Code-Analyse und Transportprüfung speziell für SAP-Umgebungen. Control Code überprüft benutzerdefinierten Code automatisch auf Sicherheits-, Compliance- und Performance-Probleme. Es kann verwendet werden, um Probleme im bestehenden Code zu identifizieren und automatisch zu beheben sowie ungenutzten Code zu identifizieren und zu entfernen. Code in der Entwicklung kann automatisch analysiert werden, und Anleitungen zur Problemlösung können direkt in der Entwicklungsumgebung eingesehen werden.Control Transports überprüft Code-Transporte automatisch auf schädliche oder falsch konfigurierte Inhalte, einschließlich solcher von Drittanbietern. Für weitere Informationen laden Sie unser whitepaper herunter.

Weitere Gründe, warum Sie Sicherheitsprüfungen für SAP-Anwendungen benötigen

Stichworte, , , ,
Über den Autor

Beth Barach

Als eine der führenden Marketingverantwortlichen bei Onapsis konzentriert sich Beth Barach darauf, die Kompetenz des Unternehmens in den Bereichen SAP-Sicherheit und threat intelligence zu stärken. Sie ist für die Konzeption und Umsetzung digitaler Kampagnen verantwortlich, die die Marktpräsenz der Marke steigern und die Vordenkerrolle des Unternehmens festigen. Ihre Arbeit trägt unmittelbar dazu bei, die SAP-Cybersicherheits-Community über neue Bedrohungen und bewährte Verfahren zu informieren, und festigt damit ihre Rolle bei der Unterstützung von Kunden beim Schutz ihrer Systeme. Beths strategischer Ansatz stellt sicher, dass die bahnbrechenden Forschungsergebnisse und Lösungen von Onapsis die richtigen Zielgruppen erreichen, von IT-Fachleuten bis hin zur Unternehmensführung.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen