Webanwendungs- sicherheit in einer digital vernetzten Welt

Nov 15, 2017 | Radware
Webanwendungs- sicherheit in einer digital vernetzten Welt Heutzutage stehen Unternehmen in aller Welt beim Thema Cybersicherheit vor einem Abgrund. Neue Technologien wie Blockchain, künstliche Intelligenz (KI) und das Internet der Dinge (Internet of Things, IoT) sowie die – ausgelöst durch die Nachfrage emanzipierter Kunden – explosive Zunahme von mobilen Apps, Web-Apps und Cloud-Apps eröffnen bisher unbekannte, äußerst lukrative Wege zur Umsatzerzielung, Produktivitätsoptimierung und Markenwertsteigerung.
Gleichzeitig werden durch das hohe Tempo der technologischen Fortschritte und die damit verbundene Ausgereiftheit Sicherheitsmängel bei Applikationen sowie Kompetenzlücken offengelegt, die sensible Unternehmens- und Kundendaten gefährden, Marken abwerten und Finanzergebnisse schwerwiegend beeinträchtigen können.

Die existenzielle Frage für jedes Unternehmen: Wie gelingt eine Umstellung auf die neuen Technologien so, dass einerseits die Beschränkungen des Kundenengagements beseitigt werden und ein deutlicher wirtschaftlicher Nutzen entsteht, andererseits aber Unternehmensressourcen, geistiges Eigentum und personenbezogene Kundendaten erfolgreich geschützt bleiben.

Die neue Radware-Untersuchung zur Webanwendungssicherheit in einer digital vernetzten Welt bietet eine anbieterunabhängige qualitative und quantitative Analyse dazu, wie Unternehmen in aller Welt ihre aktuellen und langfristigen Anforderungen an Webanwendungssicherheit  erfüllen.

Die wichtigsten Ergebnisse:
  • Bei 68 Prozent der Unternehmen ist das Vertrauen in das eigene Informationssicherheitskonzept gering. Die Befragten aus diesen Unternehmen räumen auch ein, dass sie keine Rund-um-die-Uhr-Verfügbarkeit an allen Tagen des Jahres zusichern können. Bei zwei Dritteln der Unternehmen ist Sicherheit noch nicht in die DevOps- Verfahren integriert.
  • Sensible Daten sind in Unternehmen oftmals nicht ausreichend geschützt. 45 Prozent der Befragten gaben an, dass es bei Ihnen zu einer Verletzung der Datensicherheit gekommen ist; bei 52 Prozent werden die durch APIs übertragenen Daten nicht kontrolliert. Bei 56 Prozent gibt es keine Möglichkeit, Daten nachzuverfolgen, die das Unternehmen verlassen haben.
  • Über die Hälfte des Datenverkehrs im Internet besteht aus Bot-Traffic, und Bot-Traffic macht in einigen Unternehmen mehr als 75 Prozent des gesamten Datenverkehrs aus. Bei 49 Prozent des Bot-Datenverkehrs sind sogenannte Bad Bots die Ursache, aber in 33 Prozent der Unternehmen kann nicht zwischen guten und bösen Bots unterschieden werden.
  • API-Sicherheit wird häufig übersehen. In 60 Prozent der teilnehmenden Unternehmen werden Daten – auch personenbezogene Informationen, Benutzernamen und Kennwörter, Zahlungsangaben, medizinische Unterlagen und Ähnliches – über APIs weitergeleitet und genutzt, allerdings erfolgen bei 52 Prozent keinerlei Kontrollen der durch APIs übertragenen Daten. Bei 51 Prozent gibt es vor einer Integration weder Sicherheitsaudits noch Schwachstellenanalysen in Bezug auf APIs.
  • Vor DDoS-Angriffen auf Anwendungsebene fürchtet man sich mehr als vor DDoS-Angriffen auf Netzwerkebene. Nur 33 Prozent sind sicher, Angriffe auf Anwendungsebene abwehren zu können, wohingegen 50 Prozent davon ausgehen, dass sie sich vor DDoS-Angriffen auf Netzwerkebene schützen können.
  • In sieben von zehn Unternehmen (entsprechend 72 Prozent) ist man sich nicht voll über die häufigen Änderungen im Klaren, die an unternehmensinternen Anwendungen und APIs in der Softwareentwicklungs-umgebung des Unternehmens vorgenommen werden.
  • 40 Prozent der Befragten gaben zu Protokoll, dass Anwendungen in ihrem Unternehmen mindestens einmal pro Woche aktualisiert werden – mit Blick auf die Kontrolle ist das eine große Herausforderung.
  • Jeder wünscht sich die Geschwindigkeit und Flexibilität, die mit einer kontinuierlichen Bereitstellung verbunden sind, doch nur wenige meinen, dass kontinuierliche Bereitstellung bei ihnen auf sichere Weise möglich ist. Rund die Hälfte (49 Prozent) nutzen bei Anwendungsservices aktuell eine kontinuierliche Bereitstellung, und weitere 21 Prozent planen die Einführung innerhalb der nächsten 12 bis 24 Monate. Allerdings gehen 62 Prozent davon aus, dass sich dadurch die Angriffsfläche vergrößert. Gut die Hälfte der Befragten sagten, dass bei ihnen keine Sicherheitsfunktionen in das Verfahren zur kontinuierlichen Bereitstellung integriert werden.
  • Sechs Monate vor dem Inkrafttreten der EU-Datenschutz-Grundverordnung (im Mai 2018) ist man sich in 68 Prozent der Unternehmen nicht sicher, dass die damit verbundenen Anforderungen rechtzeitig erfüllt werden können.


Informationen über die Untersuchung:

Radware hat in Zusammenarbeit mit Ponemon Research über 600 Chief Information Security Officers (CISOs) und andere Sicherheitsverantwortliche auf sechs Kontinenten befragt. Der Schwerpunkt lag dabei auf drei Branchen: Finanzdienstleistungen, Gesundheitswesen und Einzelhandel. Die Absichten dahinter:
 

  • Aufdecken der Herausforderungen, vor denen Unternehmen durch die neuen Technologien und schnellen Anwendungsbereitstellungen stehen
  • Herausfinden, wie Unternehmen in unterschiedlichen Branchen Sicherheitslücken auf Anwendungsebene und API-Ebene erkannt haben
  • Erfassen der Auswirkungen von Bots auf Unternehmen
  • Feststellen, wie Unternehmen Angriffe auf Anwendungsebene (etwa die Top-10-OWASP-Bedrohungen) bekämpfen
  • Erhalten von Einblicken in den unternehmensinternen Aufbau einer Sicherheitsroadmap für heute und morgen
Darüber hinaus wollte Radware verstehen, wie sich die exponentiell wachsende Zahl der Sicherheitsverletzungen auf Anwendungsebene (ein Beispiel dafür ist die Equifax-Attacke vor kurzer Zeit) auf die finanziellen und betrieblichen Maßnahmen der Unternehmenauswirkt.

 
Radware
© 2008-2017 Radware, Ltd. All rights reserved.