Die Anforderungen durch den Digital Operational Resilience Act (DORA) zwingen Unternehmen dazu, ihre IT-Sicherheitsstrategie auf ein neues Level zu heben, insbesondere, wenn es um die Absicherung Ihrer eingesetzten Software geht. Die entscheidende Frage, die sich Unternehmen in der Finanzindustrie nun stellen sollten: Wie sieht Ihr Testkonzept aus? Ist es zukunftssicher und bereit, den neuen IT-Security Anforderungen der Praxis standzuhalten?
Penetrationstests sind nur der Anfang, echte Sicherheit braucht mehr
Es reicht nicht, wenn Softwarehersteller sich bei Sicherheitsanforderungen lediglich auf gelegentliche Pentests verlassen. Sicherheitstests können „nachträglich“ keine sicheren Anwendungen schaffen. Wer sich ausschließlich auf solche Lösungen verlässt, klebt häufig Pflaster um Pflaster auf Schwachstellen ohne das Grundproblem zu beheben.
Stattdessen gilt es, bereits im Entwicklungsprozess die richtigen Weichen zu stellen. Das Konzept des „Shift Left“, bei dem Sicherheit möglichst früh im Softwareentwicklungsprozess verankert wird, ist längst bekannt, wird jedoch noch zu selten konsequent umgesetzt. Prinzipien wie Security by Design (sowie Privacy by Design!) und Secure Defaults müssen aktiv in die Entwicklungsarbeit einfließen und den Teams vermittelt werden.
Kontinuierliche Validierung als Schlüssel zum Erfolg mit mgm Atlas
Damit nicht kurz vor dem Release böse Überraschungen ans Licht kommen, braucht es eine kontinuierliche und automatisierte Validierung: Beispielsweise bei jedem Build sollte überprüft werden, ob neue Schwachstellen hinzugekommen sind. Werden diese früh erkannt und rechtzeitig beseitigt, reduzieren Sie nicht nur Sicherheitsrisiken, sondern auch teure Verzögerungen zu einem späteren Zeitpunkt.
Mit unserem Produkt mgm Atlas unterstützen wir Sie dabei, Sicherheitsprüfungen nahtlos in Ihren Softwareentwicklungsprozess zu integrieren. Dabei ermöglichen wir Ihnen den Einsatz verschiedener Security-Scanner egal, ob kommerzielle Tools oder Open Source. Zudem stellen wir sicher, dass Ihre SBOMs (Software Bills of Material) nicht nur immer aktuell sind, sondern auch alle Komponenten kontinuierlich und kosteneffizient auf Schwachstellen überprüft werden. So sind Sie bestens gerüstet, um auch auf kritische Sicherheitslücken wie „Log4Shell“ umgehend zu reagieren.
Pentests ohne Stress: Vom Kopfzerbrechen zur Bestätigung Ihrer guten Arbeit
Ein Pentest kurz vor einem größeren Release sollte nicht das Damoklesschwert sein, das Ihre Time-to-Market gefährdet und hohe Zusatzkosten verursacht. Stattdessen sollte er als Bestätigung einer sauberen Entwicklungsarbeit dienen. Denn wenn Sicherheitsprinzipien bereits früh berücksichtigt und kontinuierlich überprüft wurden, wird ein abschließender Pentest nur noch wenige kritische Findings aufdecken oder bestenfalls gar keine.
Unser Ziel: Dass Ihre nächsten Pentester in der Management Summary Folgendes festhalten können: „Wir haben intensiv nach Schwachstellen gesucht, aber bis auf wenige rein informative Findings konnten wir keine Sicherheitsmängel finden. Der Software-Dienstleister hat erstklassige Arbeit geleistet.“
Wir haben solche Feedbacks schon erhalten und sorgen gerne dafür, dass auch Ihr nächster Testbericht ähnlich positiv ausfällt. Sprechen Sie uns an!
