Effiziente Budgetierung in der Web-Anwendungssicherheit


Vorwort

Cyberangriffe sind in den letzten Jahren immer zielgerichteter, komplexer und professioneler geworden, wobei die technischen Anforderungen für eine Dürchführung gesunken sind. Viele Angriffe sind wirtschaftlich oder landespolitisch motiviert und werden strukturiert und organisiert von ganzen Teams durchgeführt.

Für diese Gefahren müssen technische Maßnahmen mit geeignetem Budget projektiert werden. Dieser Artikel beleuchtet die IT-Security-Katalogisierung und dessen prozentuale Budgetierung der Anwendungssicherheit im Kontext der Web-Entwicklung.

Effizientte Sicherheitsmaßnahmen in der Anwendungssicherheit sind essentiel für eine funktionsfähige Appliaktionssicherheit, welches eine gründliche Suche nach Fehlern in der Geschäftslogik und Implementierungsschwachstellen in Anwendungen jeglicher Art, von großen cloudbasierten Lösungen bis hin zu Web- und mobilen Anwendungen.

Allgemeine Budgetentwicklung in der IT-Security

Es ist wichtig, dass Unternehmen einen erheblichen Teil ihres gesamten IT-Budgets für die Informationssicherheit aufwenden, um über die finanziellen Mittel zur Verbesserung ihrer Abwehrmaßnahmen und zur Bekämpfung von Sicherheitsverletzungen zu verfügen. Dabei ist es wichtig, das Ausmaß der lebenswichtigen Investitionen in die Informationssicherheit nicht zu unterschätzen und sie als wichtigen Teil des Unternehmens zu betrachten. Die Budgetzusammensetzung der teilnehmenden Unternehmen ist in Abbildung 1 dargestellt. Angesichts der aktuellen Gefahren und Cybersicherheitstrends widmen sich Organisationen aus unserer Sicht dem Thema weiterhin zu wenig.

Die Studie von Capgemini Invent bat alle Teilnehmer im Jahr 2018, ihr Budget für Informationssicherheit in vier Kategorien aufzuteilen: Prävention (z.B. Sicherheitsstrategie, IT-Risikomanagement), Schutz (z.B. Zugangskontrolle, Datensicherheit), Erkennung (z.B. SIEM, SOC) und Response & Recovery (z.B. BCM, Krisenmanagement). Im Durchschnitt gaben die Beitragszahler 20% für Prävention (25% im Jahr 2017), 43% für Schutz (43% im Jahr 2017), 22% für Erkennung (20% im Jahr 2017) und 15% für Reaktion und Erholung (14% im Jahr 2017) aus.

Schließlich wurde die Verteilung der Teilnehmer zwischen internen (z.B. eigenem Sicherheitspersonal) und externen (z.B. Dienstleistern) Informationssicherheit-Ressourcen analysiert. In allen Sektoren geben die meisten Teilnehmer den gleichen Teil ihres Budgets für interne und externe Ressourcen aus. Diese Budgetverteilung zeigt auch, dass der Markt für Sicherheitstalente derzeit stark umkämpft ist.

Abbildung 1 - Allgemeine Budgetentwicklung in der IT-Security


Kasperskys-IT-Security-Budgetrechner

Kaspersky bietet einen Budgetrechner, der Firmen dabei helfen soll ein optimales Budget für die gegebene Größe und Branche auszurechnen, um effizient aufgestellt zu sein. Der Grundsatz hier beschreibt stetig wachsende Ausgaben, da die Informationstechnick immer komplexer wird und regulatorische Maßnahmen zu Mehr­auf­wand führen wie z.B die DSGVO.

https://calculator.kaspersky.com/

Budgetierung für Penetrationstest

In der obrigen Studie haben die Teilnehmer 22% ihres Budget für Informationssicherheit in die Erkennung investiert. In diese Kategorie fallen manuelle sowie auch automatisierte Penetrationstest. Dieses Aufwendungen decken sich auch mit unseren Empfehlungen, wobei hier jede Organisation individuell bewertet werden muss. Diese Schutzmaßnahme sollte niemals zu knapp budgetiert werden, um existenzbedrohende Angriffe zu verhindern.

Kostenverlauf im Verhältnis zur Effizienz in der manuellen Web-Anwendungsicherheit

IT-Security kann nie vollkommen sein, deswegen muss eine degressive und kosteneffiziente Annäherung an ein Optimum stattfinden. Grundsätzlich gilt, je länger Analysten Systeme untersuchen, desto aussagekräftiger sind die Ergebnisse.

Abbildung 2 - Kosten-Trend in Relation zur Effizienz

Die dargestellte Funktion soll den Verlauf für manuelle Penetrationstest darstellen. Ab einem gewissen Punkt lohnt es sich nicht noch mehr Zeit zu investieren, da dieses nur Kosten bei wenig neuer Erkenntnis verursacht. Unsere Leistungen bieten bestmöglichste Effizienz in dem Funktionskontext, so gewährleisten wir maximale Erkenntnisgewinnung für das gegebene Budget.

Unser Portfolio zur agilen Web-Sicherheit

Ein zufriedenstellendes Prozessergebnis erreichen wir unteranderem mit turingpoints Trinität der Web-Sicherheit, denn hier spielen manuelle sowie automatisierte Tests bestmöglich zusammen. Externe Expertise kann durch kostengünstige managed Bug-Bountys erlangt werden.

Der nachfolgende Artikel ist eine Beschreibung unserer agilen Methodik in der Web-Sicherheit. https://turingpoint.de/blog/agile-security-in-der-web-entwicklung/

Quellen

Capgemini Invent, Abbildung 1 und Budgetentwicklung in der IT-Sicherheit, Sonntag, September 8, 2019, https://www.capgemini.com/de-de/wp-content/uploads/sites/5/2019/03/Information-Security-Benchmark-2019_web.pdf