Das System unter der Patent-Nummer 61/901,906 ist in Ansatz und Design einmalig. Es geht weit über die üblichen Verfahren der Schwachstellen-Risiko-Evaluierung (CVSS, CWE und CAPEC) hinaus. „Unsere Methode erlaubt uns eine neue Qualität der Risiko-Bewertung, weil wir neben den herkömmlichen technischen Faktoren unter anderem auch Zweck und Kontext der Anwendung berücksichtigen können“, erklärt Mark Wireman, der Entwickler der neuen Methode bei OpenSky.
Das revolutionäre Verfahren bezieht nicht nur die Schlüssel-Attribute der Anwendung mit ein, sondern beachtet auch andere relevante Faktoren, die aus technischen Gründen bislang nicht automatisch zu erfassen waren, darunter die Daten-Klassifizierung, Authentifizierung, Kohäsion, Datentyp, Komplexität oder die Verknüpfung innerhalb des Unternehmens. „Jetzt können wir die tatsächlichen Mängel nicht nur zuverlässig aufdecken, sondern darüber hinaus automatisiert zwischen echten Risiken und bloßen Schwachstellen unterscheiden. Damit stellen wir Unternehmen eine ganz andere Entscheidungsgrundlage für die Priorisierung der Mängelbeseitigung bereit.“ Die Methode lässt sich sowohl auf bereits in Betrieb genommene Applikationen als auch auf Software anwenden, die sich noch in der Entwicklung befindet.
Software-Sicherheit hat für viele Organisationen eine zunehmend höhere Relevanz. Denn gezielte Angriffe auf Anwendungen und Daten erfolgen immer häufiger auch über mobile Geräte und Cloud-Systeme. Die zügige flächendeckende Einführung wirksamer Erkennungs- und Schutzkonzepte im Bereich Applikationssicherheit ist deshalb so wichtig wie nie zuvor.
Bisherige Analyse- und Evaluations-Ansätze haben sich allerdings als unzureichend erwiesen. „Noch investieren Firmen viel Zeit und Geld in den Versuch, fehlerhaft ermittelte Schwachstellen in den eigenen Software-Anwendungen wieder zu beseitigen”, weiß Olaf Siemens, Vice President Information Security bei TÜV Rheinland. „Mit der neuen Methode von OpenSky können sich Unternehmen auf die Mängel in ihren Anwendungen konzentrieren, die wirklich sicherheitsrelevant sind“, so der Experte für Informationssicherheit. „Wir sind überzeugt, dass sich mit dem neuen Verfahren die Software-Sicherheit in vielen Branchen steigern lässt, allen voran im Gesundheits- und Versicherungswesen, aber auch in der Vermögensverwaltung, der Finanzbranche sowie in Bildung und Industrie.“
Präsentieren wird Mark Wireman die neue Methode der Schwachstellen-Analyse im Rahmen seines Vortrages während des IT-Sicherheits-Kongresses 2014 von TÜV Rheinland. Die Fachkonferenz, die vom 21. bis 22. Mai unter dem Titel „Face the future of IT SecurITy“ in Fürstenfeldbruck bei München stattfindet, befasst sich zwei Tage lang mit innovativen Lösungen in der Informationssicherheit. Mehr unter www.tuv.com/it-sicherheitskongress
Zur OpenSky Corporation
OpenSky zählt zu den führenden Technologieunternehmen in den USA und gehört seit Januar 2014 zur TÜV Rheinland Group. Der Spezialist für IT-Infrastrukturen, Informationssicherheit und Compliance erstellt Sicherheits-bewertungen für Anwendungen in allen Phasen des Software Development Lifecycle (SDLC), von Entwicklung und Qualitätssicherung über die Implementierung, Wartung und Auditierung von Internet und mobilen Anwendungen. Bei einer Wiederholung kann sich auf Anforderung das Security Assessments as a Service (SAaaS) in das IT-Risiko Management Programm einer Organisation einschalten und kosteneffektives Risikomanagement in der eigenen Umgebung ermöglichen. SAaaS beinhaltet Anwendungs- und mobile Anwendungssicherheit, Merger und Akquisitionssicherheit sowie Evaluationen durch Dritte. Für Fortune 500-Firmen hat OpenSky bereits mehr als 750 Projekte umgesetzt.
Umfassende Informationssicherheit für Unternehmen und Institutionen
Als führender unabhängiger Prüfdienstleister für Informationssicherheit in Deutschland bietet TÜV Rheinland Unternehmen und Institutionen ganzheitliche Informationssicherheit von der strategischen Beratung über Konzeption und Prozessoptimierung bis zu Implementierung, Betrieb oder Zertifizierung der Systeme. Exzellente Technologie-Expertise, umfassendes Branchen-Know-how und strategische Partnerschaften mit Marktführen ermöglichen die Entwicklung standardisierter und individueller Sicherheitslösungen. Kerngeschäftsfelder sind die Strategische Informationssicherheit, Qualität und Sicherheit für Applikationen und Portale, Mobile und Network Security sowie die IT-Sicherheit in Industrieanlagen und kritischen Infrastrukturen.
Weitere Informationen unter www.tuv.com/informationssicherheit im Internet.