Künstliche Intelligenz reicht nicht aus

So zeigten beispielsweise 83 Prozent der im aktuellen State of Software Security-Report von Veracode untersuchten Anwendungen beim ersten Scan einen Sicherheitsmangel. Außerdem neigen Unternehmen dazu, Sicherheitsverschuldungen anzuhäufen. Unter Sicherheitsverschuldung versteht man die Anhäufung von Schwachstellen, die zwar entdeckt wurden, aber nicht behoben - und umso länger diese Schwachstellen existieren, umso niedriger ist die Wahrscheinlichkeit, dass sie noch behoben werden. Zwar beheben Unternehmen mehr als die Hälfte (56 Prozent) aller neuen Schwachstellen, die gefunden werden, vernachlässigen dafür aber ältere. Mithilfe von automatischem Scannen und Machine Learning können Unternehmen Schwachstellen frühzeitig erkennen und somit kostengünstig und effektiv beheben. Die Algorithmen allein schaffen es jedoch nicht, Entwicklerteams ein neues Sicherheitsbewusstsein näherzubringen. Dafür lohnt sich die Kombination von menschlicher Expertise und Automatisierung und der gezielte Einsatz von Security-Champions.

Die Geschwindigkeit in der Anwendungsentwicklung nimmt stets zu. Deshalb ist es besonders wichtig, Sicherheitsfragen früh im Entwicklungsprozess zu adressieren. Dadurch entsteht eine neue Nähe zwischen Sicherheits- und Entwicklerteams. Um die neuen und zahlreichen Herausforderungen für die Anwendungssicherheit zu bewältigen, gilt es, diese Zusammenarbeit zu optimieren. Ein Bericht von Securosis zeigt, dass die meisten IT-Experten hauptsächlich über Erfahrungen im Bereich der Netzwerksicherheit verfügen. Auf der anderen Seite fehlt vielen Entwicklern eine Ausbildung im Bereich Sicherheit und regelmäßige Trainings für sicheres Coden. Dadurch entsteht bei ihnen mangelndes Wissen über sichere Entwicklungsprozesse von Anwendungen. Sicherheits- und Entwicklerteams müssen demnach in Zukunft die Arbeitsprozesse des Gegenübers verstehen.