Zuverlässiger Schutz in der Lieferkette beginnt mit sicherer Software

Zuverlässiger Schutz in der Lieferkette beginnt mit sicherer Software

By Emilyann Fogarty

Warum die Verwendung eines sicheren Frameworks bei der Entwicklung von Anwendungen wichtig ist

Seit etwa einem Jahr ist die Cybersicherheit von Lieferanten und Dienstleistern für viele Unternehmen ein wichtiges Thema, da Angriffe auf die Lieferkette häufiger denn je geworden sind. Um den optimalen Schutz für ihr Geschäft und ihre Kunden gewährleisten zu können, müssen MSPs deshalb auch prüfen, ob ihre Lieferanten ausreichend gegen Cyberangriffe geschützt sind.

Wie kommt es zu den Angriffen? Viele entstehen durch Schwachstellen in der Entwicklung von Sicherheitslösungen. Bei der Entwicklung von Anwendungen liegt der Fokus oftmals auf Geschwindigkeit, Leistung und Benutzerfreundlichkeit, wodurch die Sicherheit vernachlässigt wird. Deshalb ist die Anwendungsschicht nach wie vor ein leichtes und beliebtes Ziel. Laut einer vom Cyentia Institute in Auftrag gegebenen Studie sind 56 % der schwerwiegendsten Angriffe der letzten fünf Jahre auf Sicherheitslücken bei Webanwendungen zurückzuführen. Besonders die hier aufgelisteten Sicherheitslücken und Angriffsarten sorgen aktuell für die größten Vorfälle:

  • Anfällige Zugriffskontrollen – Ein unbefugter Benutzer oder Hacker kann Inhalte ändern bzw. löschen oder erlangt im schlimmsten Fall die vollständige Kontrolle über eine Webanwendung.
  • Injektions- und Cross-Site-Scripting-Angriffe – Schädlicher Code wird in eine Webanwendung eingefügt, was häufig zu Datenverlust, Löschung, Dienstverweigerung oder sogar zur vollständigen Kompromittierung des Systems führt.
  • Server-Side Request Forgery – Ein Angreifer bringt eine Webanwendung dazu, eine Serverantwort an ein anderes oder unbekanntes Ziel zurückzusenden und so Firewalls zu umgehen.
  • Nicht gepatchte, nicht unterstützte und veraltete Anwendungen – Mit der Zeit finden Hacker selbst in den robustesten Anwendungen Schwachstellen, die sie ausnutzen können. Deshalb muss sichergestellt werden, dass Anwendungen und Verwaltungssysteme unterstützt werden und immer auf dem neuesten Stand sind.

Softwareanwendungen sind für den Betrieb von IT-Dienstleistern entscheidend. Die meisten Anwendungen haben Zugang zu wichtigen Daten, wodurch Angriffe auf Webanwendungen schwere Folgen haben können. Deshalb sollte die Sicherheit der Anwendungen bei der Entwicklung immer im Vordergrund stehen, ganz egal, ob es sich um RMM oder eine Lösung für Business Continuity handelt.

Datto hat das Building Security in Maturity Model (BSIMM) übernommen

Für Datto steht die Sicherheit bei der Entwicklung aller Anwendungen an erster Stelle. Unser Anspruch an uns selbst ist es, den besten Schutz im Channel für Software-Lieferketten bereitzustellen. Während des gesamten Softwareentwicklungszyklus sorgen wir für den optimalen Schutz vor Angriffen sowie bewerten und verbessern unsere Prozesse bei der Entwicklung von Anwendungen fortlaufend, um den höchsten Sicherheitsstandards zu entsprechen.

Da der Schutz der Lieferkette immer wichtiger wird, sehen wir die Cybersicherheit der Anwendungsentwicklung als eine notwendige und strategische Komponente unseres Geschäfts an. Um unser Engagement für die Channel-Community als sicherer Anbieter und Partner zu demonstrieren, haben wir das BSIMM-Framework übernommen.

Was ist BSIMM?

Das Building Security in Maturity Model (BSIMM) ist eine Studie über aktuelle (zeitpunktbezogene) Software-Sicherheitsinitiativen, die die Entwicklung der Anwendungssicherheit bewertet. BSIMM hilft Unternehmen bei der Planung, Implementierung und Messung ihrer Software-Sicherheitsinitiativen. Eine BSIMM-Bewertung bietet eine objektive, datengestützte Beurteilung der Sicherheit zu einem bestimmten Zeitpunkt, so dass Entwickler den Schutz ihrer Anwendungen kontinuierlich verbessern können.

BSIMM-Beobachtungen verwenden ein Framework, das zwölf Software-Sicherheitspraktiken umfasst, die wiederum in vier Bereiche unterteilt sind: Governance, Intelligence, SSDL Touchpoints und Deployment, das derzeit 122 einzelne Aktivitäten in drei Reifegraden umfasst. Der Bereich Governance umfasst zum Beispiel Aktivitäten, die unter die Organisation, das Management und die Messverfahren einer Software-Sicherheitsinitiative fallen.

Warum haben wir uns für BSIMM und nicht für ein anderes Framework entschieden?

  • BSIMM ist der weltweite Maßstab für Software-Sicherheit: Es gibt viele Frameworks für Anwendungssicherheit, doch nur mit BSIMM können Unternehmen den Reifegrad ihres Programms mit den marktführenden Lösungen vergleichen. Dabei werden Daten genutzt, die in der Praxis und durch eine unabhängige, neutrale Partei erhoben wurden.
  • BSIMM ist immer relevant: Das Modell wird einmal jährlich auf Grundlage der kontinuierlichen Beobachtung der BSIMM-Aktivitäten aller teilnehmenden Unternehmen aktualisiert.
  • BSIMM liefert unabhängige Bewertungsdaten: So können wir unseren Kunden, Partnern und Aufsichtsbehörden den Stand der Softwaresicherheit anhand unabhängiger, quantitativer Daten vermitteln.
  • Die BSIMM-Gemeinschaft: Durch die Teilnahme an BSIMM haben wir direkten Zugang zu Ressourcen, Community-Mitgliedern und jährlichen Konferenzen, die es uns ermöglichen, über die neuesten und besten Trends in der Anwendungssicherheit auf dem Laufenden zu bleiben, an der Lösung technischer Herausforderungen mitzuarbeiten und zur Verbesserung der Anwendungssicherheitspraktiken insgesamt beizutragen.

Datto belegt Spitzenplatz

Wir sind uns bewusst, dass eine sichere Anwendungsentwicklung für die Gesamtsicherheit eines Unternehmens von entscheidender Bedeutung ist. Deshalb haben wir uns dazu entschieden, das BSIMM Software Security Benchmark Tool und Framework zu implementieren.

Bei der Durchführung der ersten BSIMM-Bewertung für Datto Remote Monitoring & Management (RMM) erreichte Datto eine Top-Platzierung, die nur von 128 der branchenweit sichersten App-Entwickler erreicht wurde, die bei führenden IT-Unternehmen, Finanzinstituten und Fortune 500-Unternehmen eingesetzt werden.

Chart, radar chart

Description automatically generated

Zusammenfassung der Datto RMM-Bewertung

  • Die Ergebnisse von Datto übertrafen das ursprüngliche Ziel und erreichten in acht der zwölf Verfahren eine überdurchschnittliche Punktzahl
  • Es gehört zu den besten 20 % der Unternehmen, die zum ersten Mal bewertet wurden.
  • Datto gehört zu den fünf bestbewerteten Unternehmen, die seit weniger als zwei Jahren an Software-Sicherheit arbeiten
  • Datto führt die wichtigste Einzelmaßnahme zur Verbesserung der Softwaresicherheit durch: Es verfügt über eine engagierte SSG, die Ressourcen erhalten und organisatorische Veränderungen vorantreiben kann.

Im Vergleich zu den durchschnittlichen Spitzenwerten aller BSIMM12-Teilnehmer liegt Datto in den Bereichen Strategie & Metriken, Compliance & Richtlinien, Schulung, Angriffsmodelle, Code-Review, Sicherheitstests, Penetrationstests und Konfigurationsmanagement & Schwachstellenmanagement über dem Durchschnitt. In den Bereichen Standards & Anforderungen und Softwareumgebung liegt Datto nahe am Durchschnitt. Die Ergebnisse dieser Beobachtung zeigen auch, dass die zukunftsorientierten Pläne und Prioritäten von Datto gut mit den Empfehlungen und Anleitungen von BSIMM übereinstimmen, um eine gut abgerundete Software-Sicherheitsinitiative zu verfolgen.

„Datto führt die wichtigste Maßnahme zur Verbesserung der Softwaresicherheit durch: Das Unternehmen hat sich der Entwicklung von Software-Sicherheit verschrieben und unterstützt dieses Vorhaben mit den nötigen Ressourcen, um für eine nachhaltige Verbesserung zu sorgen.“

Diese erste Bewertung unterstreicht unser kontinuierliches Engagement bei der Entwicklung von sicherem Code und ist ein Beleg dafür, dass Datto der einzige IT-Anbieter ist, der sich der MSP-Community verschrieben hat und nicht nur die BSIMM-Validierung, sondern auch diese Stufe der BSIMM-Bewertung erreicht hat.

Fundierte Entscheidungen über Sicherheitssoftware sind wichtiger denn je, da die Auswirkungen von Sicherheitslücken noch nie größer waren.

Wenn Sie mehr über die BSIMM-Bewertung erfahren möchten, können Sie uns hier kontaktieren.


Suggested Next Reads