Anwendungssicherheit
Was ist Anwendungssicherheit?
Als Anwendungssicherheit werden Sicherheitsmaßnahmen auf Anwendungsebene bezeichnet, die verhindern, dass Anwendungsdaten oder -code entwendet oder unbefugt geändert werden. Anwendungssicherheit umfasst Sicherheitsüberlegungen, die sich während der Entwicklung und dem Design einer Anwendung ergeben. Zur Anwendungssicherheit gehören jedoch auch Systeme und Ansätze zum Schutz bereits bereitgestellter Anwendungen.
Zur Anwendungssicherheit können u.a. Hardware, Software und Verfahren gehören, die Sicherheitslücken identifizieren oder minimieren. Ein Router, der verhindert, dass die IP-Adresse eines Anwenders über das Internet ausgespäht werden kann, ist eine Form der hardwarebasierten Anwendungssicherheit. Sicherheitsmaßnahmen auf Anwendungsebene sind in der Regel jedoch in die Software integriert, wie etwa eine Anwendungs-Firewall, die zulässige und verbotene Aktivitäten streng definiert. Verfahren können z.B. eine Anwendungssicherheitsroutine enthalten, die Protokolle für regelmäßige Tests umfasst.

Erfahren Sie, wie Sie Bedrohungen durch kleinere Angriffsflächen der Anwendungen in allen Umgebungen minimieren.
Kostenlos herunterladenVerwandte Themen
Definition von Anwendungssicherheit
Anwendungssicherheit bezieht sich auf das Entwickeln, Hinzufügen und Testen von Sicherheitsfunktionen in Anwendungen, um Bedrohungen wie nicht autorisierte Zugriffe und Manipulationen abzuwehren.
Gründe für die Bedeutung der Anwendungssicherheit
Anwendungssicherheit ist wichtig, da heutige Anwendungen oftmals über verschiedene Netzwerke hinweg verfügbar und mit der Cloud verbunden sind. So werden sie anfälliger für Sicherheitsbedrohungen und -verletzungen. Es besteht zunehmend Druck und Anreiz, Sicherheit nicht nur auf Netzwerkebene, sondern auch innerhalb der Anwendungen zu gewährleisten. Die Angriffe von Hackern sind heute stärker auf Anwendungen gerichtet, als je zuvor. Anwendungssicherheitstests können Schwächen auf Anwendungsebene aufzeigen und zur Entwicklung geeigneter Abwehrmaßnahmen beitragen.
Arten der Anwendungssicherheit
Zu den unterschiedlichen Funktionen der Anwendungssicherheit gehören u.a. Authentifizierung, Autorisierung, Verschlüsselung, Protokollierung und Anwendungssicherheitstests. Entwickler können zudem Code-Anwendungen entwickeln, um Sicherheitslücken zu schließen.
Über Authentifizierungs- und Autorisierungsverfahren, die in eine Anwendung integriert werden, können Softwareentwickler den Anwendungszugriff auf autorisierte Anwender beschränken. Authentifizierungsverfahren stellen sicher, dass es sich tatsächlich um den betreffenden Anwender handelt. Während des Anmeldevorgangs muss sich der Anwender durch Eingabe von Anwendername und Kennwort gegenüber der Anwendung ausweisen. Bei der Multi-Faktor-Authentifizierung sind mehrere Formen der Authentifizierung erforderlich, beispielsweise eine geheime Zeichenfolge (Kennwort), ein vorhandener Gegenstand (Mobilgerät oder Ausweiskarte) oder ein biometrisches Merkmal (Fingerabdruck- oder Gesichtserkennung).
Nach der Authentifizierung kann der betreffende Anwender zum Zugriff auf die Anwendung und zu deren Nutzung autorisiert sein. Durch Vergleich der Anwenderidentität mit einer Liste autorisierter Anwender kann das System überprüfen, ob ein Anwender zum Zugriff auf die Anwendung berechtigt ist. Die Authentifizierung muss vor der Autorisierung erfolgen, damit die Anwendung nur bereits überprüfte Anmeldedaten mit der Liste autorisierter Anwender abgleicht.
Nutzt ein Anwender nach der Authentifizierung die Anwendung, können sensible Daten durch andere Sicherheitsmaßnahmen vor Einsicht oder Missbrauch durch Cyber-Kriminelle geschützt werden. In Cloud-basierten Anwendungen kann der Datenverkehr, der sensible Daten zwischen dem Anwender und der Cloud transportiert, aus Datenschutzgründen verschlüsselt werden.
Im Falle eines Sicherheitsverstoßes in einer Anwendung kann die Protokollierung dazu beitragen, die unbefugte Person, die auf die Daten zugegriffen hat, zu identifizieren. Anhand eines Zeitstempels in den Protokolldateien der Anwendung können Datum und Uhrzeit, Anwender sowie vom Zugriff betroffene Komponenten nachverfolgt werden.
Anwendungssicherheit in der Cloud
Für die Anwendungssicherheit in der Cloud bestehen einige zusätzliche Herausforderungen. In Cloud-Umgebungen werden gemeinsam genutzte Ressourcen bereitgestellt. Daher muss unbedingt sichergestellt werden, dass Anwender nur auf Daten zugreifen können, zu deren Ansicht sie in ihren Cloud-basierten Anwendungen autorisiert sind. Sensible Daten sind in diesen Anwendungen besonders anfällig, weil sie über das Internet in beide Richtungen zwischen Anwender und Anwendung übertragen werden.
Sicherheit mobiler Apps
Mobilgeräte senden und empfangen ebenfalls Daten über das Internet statt über ein privates Netzwerk und sind daher anfällig für Angriffe. Unternehmen können virtuelle private Netzwerke (VPNs) verwenden, um einen Anwendungssicherheits-Layer für Mitarbeiter hinzuzufügen, die sich remote bei Anwendungen anmelden. IT-Abteilungen können mobile Apps auch auf Konformität mit den Sicherheitsrichtlinien des Unternehmens überprüfen, bevor Mitarbeiter die Anwendungen auf Mobilgeräten mit Verbindung zum unternehmenseigenen Netzwerk verwenden dürfen.
Webanwendungssicherheit
Webanwendungssicherheit bezieht sich auf Anwendungen und Services, auf die Anwender über einen Webbrowser zugreifen. Da sich Webanwendungen auf Remote-Servern und nicht lokal auf Anwendercomputern befinden, müssen Informationen bidirektional über das Internet zwischen Anwender und Anwendung ausgetauscht werden. Webanwendungssicherheit ist besonders wichtig für Unternehmen, die Webanwendungen hosten oder Webservices zur Verfügung stellen. Diese Unternehmen schützen ihr Netzwerk oft mit einer Webanwendungs-Firewall vor Eindringlingen. Eine Webanwendungs-Firewall prüft und blockiert im Bedarfsfall Datenpakete, die als schädlich eingestuft sind.
Was sind Anwendungssicherheitskontrollen?
Anwendungssicherheitskontrollen sind Techniken zur Erweiterung der Sicherheit einer Anwendung auf Codierungsebene, um deren Anfälligkeit für Bedrohungen zu reduzieren. Viele dieser Kontrollen beziehen sich auf die Reaktion der Anwendung auf unerwartete Eingaben, die Cyber-Kriminelle als Schwäche ausnützen können. Programmierer können Anwendungscode so schreiben, dass sie mehr Kontrolle über das Ergebnis dieser unerwarteten Eingaben haben. Fuzzing ist ein Anwendungssicherheitstest, bei dem Entwickler die Ergebnisse der unerwarteten Werte oder Eingaben testen. Die Entwickler ermitteln, welche Ergebnisse oder Eingaben zu einer unerwarteten Reaktion der Anwendung und damit zur einer Sicherheitslücke führen können.
Was ist ein Anwendungssicherheitstest?
Anwendungsentwickler führen Anwendungssicherheitstests im Rahmen der Softwareentwicklung durch, um Sicherheitslücken in neuen oder aktualisierten Versionen von Softwareanwendungen auszuschließen. Ein Sicherheitsaudit gewährleistet die Compliance der Anwendung mit einem bestimmten Satz von Sicherheitskriterien. Nach bestandenem Sicherheitsaudit müssen die Entwickler sicherstellen, dass nur autorisierte Anwender auf die Anwendung zugreifen können. In Penetrationstests (auch Pentests genannt) versetzen sich Entwickler in die Denkweise von Cyber-Kriminellen und suchen nach Möglichkeiten, in die Anwendung einzudringen. Zu Pentests gehören u.a. Techniken der „sozialen Manipulation“ (Social Engineering) oder der gezielten Täuschung von Anwendern, um sich nicht autorisierten Zugang zu verschaffen. Tester führen in der Regel sowohl nicht authentifizierte als auch authentifizierte Sicherheitsanalysen (Security Scans) (als angemeldete Anwender) durch, um Sicherheitslücken aufzudecken, die u.U. in beiden Zuständen nicht angezeigt werden.
VMware-Lösungen und -Ressourcen für Anwendungssicherheit
In drei Schritten zur Datensicherheit mit Desktop- und Anwendungsvirtualisierung
VMware-Lösungen zur Desktop- und Anwendungsvirtualisierung unterstützen Unternehmen beim Schutz Ihrer Unternehmensdaten sowie beim Support der Anwenderproduktivität. Doch wie funktioniert das? Desktop- und Anwendungsvirtualisierung schützt Unternehmensdaten auf drei anwenderfreundliche Weisen.
Herausforderung beim Schutz moderner Anwendungen
Moderne Anwendungen umfassen häufig Netzwerke, in denen Server, virtuelle Maschinen, Services und Datenbanken zusammenarbeiten. Das bedeutet, dass Ihre Anwendungssicherheit genauso agil sein muss wie die Anwendungen selbst.
Software für Anwendungssicherheit – AppDefense
AppDefense hält nicht einfach nach Bedrohungen Ausschau, sondern erkennt den beabsichtigten Status und das Verhalten einer Anwendung und überwacht die Anwendung auf Änderungen, die auf eine Bedrohung hindeuten können. Wenn eine Bedrohung erkannt wird, reagiert AppDefense automatisch.
Sichere Anwendungen und Infrastruktur
vSphere bietet umfassende integrierte Sicherheit und ist das Herzstück eines sicheren Software-Defined Datacenter (SDDC). Es sichert Anwendungen, Daten, Infrastruktur und Zugriff.
Fünf Methoden zum Schutz von Anwendungen in ihrer nativen Umgebung
Moderne Anwendungen sind anfällig für Hackerangriffe und Malware. Einen Cyberangriff zu starten, ist einfacher denn je. Auch die Sicherheitsverluste nehmen stetig zu.
Netzwerkvirtualisierungs- und Sicherheitssoftware
VMware NSX® Data Center stellt virtualisiertes Networking und Sicherheit in Form von Software bereit. Es bildet einen Grundpfeiler des Software-Defined Datacenter (SDDC), mit dem das Virtual Cloud Network Rechenzentren, Clouds und Anwendungen verbinden und schützen kann.