Infolge einer wachsenden Bedrohungslage investieren Unternehmen immer mehr in Cyber Security. Welche Rolle spielt dabei das Application Pentesting?
Selbst entwickelte oder zugekaufte Softwarekomponenten sind eines der häufigsten Einfallstore für Cyber-Angriffe auf Unternehmen. Man muss sich bewusst machen: Jede Anwendung, jeder digitale Dienst und jedes neue Stück Software enthält Sicherheitslücken. Die Frage, die sich Unternehmen stellen sollten, lautet: Wer findet sie zuerst? Sie selbst oder irgendjemand im Internet? Genau hier setzt Application Pentesting an. Ziel ist es, Sicherheitslücken, die die Verfügbarkeit der Anwendung oder die Integrität bzw. Vertraulichkeit der Daten gefährden, aufzudecken und beheben zu können, bevor ein Schadensfall, etwa in Form eines Abflusses von Kundendaten oder eines Anwendungsausfalls, eintritt.
Wie geht ihr dabei vor?
Wir nehmen die Perspektive der Angreifer ein. Diese nutzen beispielsweise Fehler in der Businesslogik von selbst entwickelten Teilen der Website oder bekannte Schwachstellen und Sicherheitslücken in den verwendeten Frameworks und Bibliotheken aus, um Anwendungen anzugreifen. Wir zeichnen diese Wege nach und simulieren mit verschiedenen Methoden Angriffe auf die Anwendung. Wichtig ist dabei, dass diese Überprüfungen immer an den jeweiligen Nutzungskontext angepasst werden und individuelle Anwendungsszenarien berücksichtigen. So sind wir in der Lage, Sicherheitslücken schnell und gezielt zu identifizieren. Durch unsere Expertise und langjährige Erfahrung im Bereich der Softwareentwicklung verfügen wir über ein tiefes Verständnis der Funktionsweise von Software, die Fähigkeit, uns schnell in komplexe Systeme einzuarbeiten und die Erfahrung, kritische (Code-)Stellen in einem System schnell zu identifizieren.
Application Pentesting hilft somit, Sicherheitslücken rechtzeitig aufzudecken – sicherer ist die Anwendung dadurch allerdings noch nicht, oder?
Das ist richtig – und Application Pentesting ist auch nur ein Baustein in einem ganzheitlichen End-to-End-Security-Ansatz. Aber es bietet eine ideale Basis, um die Anwendungssicherheit gezielt zu erhöhen. Zum einen, indem es nicht nur Sicherheitslücken aufzeigt, sondern auch deren Kritikalität bewertet. So können Unternehmen ihre Sicherheitsressourcen gezielt dort einsetzen, wo der Handlungsbedarf am größten ist. Zum anderen liefert der Abschlussbericht auch konkrete Lösungsvorschläge zur Behebung der identifizierten Schwachstellen. Gutes Application Pentesting lässt den Kunden also nicht mit einer Reihe von Funden allein, sondern versetzt ihn in die Lage, Sicherheitslücken effektiv und nachhaltig zu schließen.
Wie intensiv wird Application Pentesting heute bereits von Unternehmen in Deutschland eingesetzt?
Dies hängt unter anderem von der Unternehmensgröße, dem jeweiligen Security-Reifegrad und dem jeweiligen Branchenumfeld ab. Gerade in regulierten Umfeldern, wie z.B. der Finanzwirtschaft oder der Pharmaindustrie, gehört regelmäßiges Application Pentesting zum Standardrepertoire und wird von den Behörden vorgeschrieben. Leider trifft man auch hier immer wieder auf Unternehmen, die Application Pentesting als reine Nachweispflicht verstehen und kein Interesse daran haben, sich tiefergehend mit den Funden und deren Ursachen auseinanderzusetzen. Dabei sollte ein Testbericht nicht nur ein Nachweis für das Management, Behörden oder Investoren sein – sondern in erster Linie ein Arbeitsdokument für die Entwicklerteams, mit dem sie die Applikationssicherheit gewährleisten und weiterentwickeln können.
Woran scheitert heute der Einsatz von Application Pentesting im Unternehmen?
Ein häufiger Grund ist sicherlich der Mangel an personellen Ressourcen im Sicherheitsbereich, weshalb das Thema oft nicht von Beginn an integraler Bestandteil von Softwareentwicklungsprojekten ist. Ein weiterer Grund ist, dass Application Pentesting meist in kritischen Projektphasen durchgeführt wird, z.B. kurz vor dem Go-Live einer Anwendung oder einem neuen Release, in denen der Zeitdruck hoch und die Bereitschaft, sich mit Anpassungen auseinanderzusetzen, gering ist. Dementsprechend wird Application Pentesting in solchen Situationen oft als Showstopper empfunden.
Wie lässt sich verhindern, dass Application Pentesting zum Showstopper wird?
Ich denke, man muss die Perspektive umdrehen. Ein Pentest ist oft die letzte Möglichkeit, Sicherheitslücken zu beheben, bevor die Kosten für die Applikationssicherheit ins Unermessliche steigen. Denn sobald eine Anwendung live ist, nehmen sowohl die Kosten für die Behebung von Sicherheitslücken als auch die Schadenshöhe eines erfolgreichen Cyberangriffs exponentiell zu. Ein proaktiver Ansatz, bei dem Sicherheitslücken erkannt und geschlossen werden, bevor es zu einem Angriff kommt, ist daher nicht nur aus sicherheitstechnischer, sondern auch aus betriebswirtschaftlicher Sicht sinnvoll. Man kann sogar so weit gehen zu sagen, dass Unternehmen, die Sicherheitslücken frühzeitig und proaktiv angehen, langfristig Wettbewerbsvorteile haben, da sie geringere Reputationsrisiken tragen, ein geringeres Ausfallrisiko bzw. geringere Wartungskosten haben und – nicht zuletzt – besser auf aktuelle und zukünftige regulatorische Anforderungen vorbereitet sind.
Du hattest die regulierte Branche bereits angesprochen – inwiefern ist Regulatorik ein Treiber für die Adaption für den Einsatz von Application Pentesting?
Regulatorische Vorgaben sind im Bereich der Sicherheit immer ein starker Hebel. Indem bestimmte Sicherheitsmaßnahmen gesetzlich vorgeschrieben und Verstöße sanktioniert werden, steigt der Druck auf Unternehmen, in diesem Bereich aktiv zu werden.
Aktuell ist dies am Beispiel der NIS2-Richtlinie zu beobachten, die im Oktober 2024 in Deutschland Gesetzeskraft erlangt und auch kleinere Unternehmen aus KRITIS-nahen Branchen verpflichtet, einen wirksamen Schutz vor Cyberangriffen nachzuweisen. Auch hier spielt Application Pentesting eine wesentliche Rolle, um sowohl die Sicherheit der eigenen Systeme als auch der eingesetzten Drittsysteme entlang der IT-Supply Chain nachzuweisen.
Mit Blick auf regulatorische Anforderungen ist es jedoch immer wichtig, dass Unternehmen über einzelne Nachweise und einmal erstellte Regelkataloge hinaus ein grundsätzliches Verständnis und Bewusstsein für die Bedeutung von Applikationssicherheit entwickeln. Pentesting kann hier ein geeignetes Instrument sein, um Handlungsbedarfe sichtbar zu machen und Management Attention zu erzeugen.
Abgesehen von regulatorischen Vorgaben – wie hat sich der Umgang mit Application Security aus deiner Erfahrung in den letzten Jahren verändert?
Der Befund lautet: Die Zahl der Angriffe hat in den letzten Jahren kontinuierlich zugenommen und steigt weiter, auch weil die potenziellen Angriffsziele immer größer werden. Gleichzeitig nimmt aber auch die Bedeutung der Cyber Security als kritischer Faktor für den Unternehmenserfolg deutlich zu.
Denn in nahezu allen Branchen wird die Wahrnehmung der Kunden immer stärker von der Qualität der digitalen Produkte und Dienstleistungen geprägt. Die zugrundeliegenden Systeme werden damit für Unternehmen zu strategischen Assets, die in hohem Maße geschäfts-, kunden-, aktionärs- und investorenrelevant sind und daher besonders geschützt werden müssen. Eine temporäre, ungeplante Nichtverfügbarkeit der Anwendung aufgrund eines Cyber-Angriffs oder der Reputationsschaden durch den unkontrollierten Abfluss von Kundendaten werden sich in Zukunft voraussichtlich noch viel direkter auf den Wert und die Bewertung von Unternehmen auswirken. Damit wird Cyber Security auch zu einem Wettbewerbsfaktor, sei es in der Empfehlungslogik von Kunden, bei der Bewertung durch Analysten oder bei der Prüfung im Rahmen von Due-Diligence-Prozessen. Unternehmen, die über ein klares Bild ihrer Security-Posture verfügen, haben in der Folge klare Wettbewerbsvorteile. Application Pentesting kann dabei ein sinnvoller erster Schritt sein.
Danke für deine Zeit und das spannende Interview!
Jan Girlich - Jan Girlich arbeitet seit über 8 Jahren im Bereich Pentesting. In dieser Zeit hat er Organisationen von Start-Ups bis Weltkonzerne unterstützt ihre Anwendungen abzusichern. Dabei hat er die Anforderungen der jeweiligen Branchen kennengelernt wie Pharmazie und Medizintechnik, Finanzwesen, Versicherungswesen, NGOs, Food & Beverage, Behörden und Education.
Haben Sie Fragen oder benötigen Sie Unterstützung?
Mehr zu den Möglichkeiten von Pentesting für Ihr Unternehmen finden Sie auf unserer Webseite.
Sprechen Sie uns gerne an oder vereinbaren Sie einen Termin.