Eine neue Studie des Ponemon-Instituts deckt enorme Mängel sowohl beim praktischen Schutz von Web-Applikationen als auch beim Wissen darüber auf: So verlassen sich 69 Prozent der befragten IT- und Security-Profis auf Netzwerk-Firewalls, um ihre Websites zu schützen. 72 Prozent testen weniger als 10 Prozent ihrer Web-Applikationen auf Sicherheitslöcher - und das, obwohl fast drei Viertel (73 Prozent) aller Organisationen angeben, dass sie in den letzten 24 Monaten erfolgreich gehackt wurden. Im Rahmen der Studie "State of Web Application Security" hat das Ponemon-Institut 637 US-amerikanische IT- und Security-Spezialisten online befragt. Die gezielt angeschriebenen Befragten arbeiten in den verschiedensten Branchen und verfügen im Schnitt über eine elfjährige Berufserfahrung. Die Studie wurden von den beiden IT-Security-Anbietern Barracuda Networks und Cenzic finanziert.
Laut 74 Prozent der Teilnehmer ist Web Application Security das kritischste Sicherheitsthema für ihre Organisation oder zumindest ebenso kritisch wie andere Sicherheitsaspekte. Dennoch, so zeigt die Studie, kursieren viele falsche Vorstellungen über die Methoden, wie Web-Applikationen geschützt werden. Das gilt insbesondere für Web Application Firewalls und der Einschätzung von Gefährdungen für Webseiten und Web-Applikationen.
Paul Judge, Chief Research Officer von Barracuda Networks, hält die Ergebnisse für bemerkenswert: "Während es durchaus ermutigend ist, dass viele Organisationen Web Application Security genau im Blick haben, gibt es doch eine enorme Lücke zwischen dem Wunsch nach Sicherheit für Web-Applikationen und der Implementierung von Schutzmaßnahmen, um sie zu erreichen. Wer, wie rund sieben von zehn Teilnehmern, dabei auf Netzwerk-Firewalls setzt, handelt wie jemand, der sich mit einem Pappschild in einen Schwertkampf wagt."
Weitere Ergebnisse der Studie:
- Die wichtigsten Gründe für den Schutz von Web-Applikationen sind Datensicherheit (62 Prozent) und Compliance (51 Prozent).
- Obwohl 51 Prozent Compliance als einen der Treiber für das Thema Web Application Security betrachten, können 43 Prozent mit einem wichtigen Begriff wie OWASP (Open Web Application Security Project), einem Hauptbestandteil von Compliance Standards, nichts oder wenig anfangen.
- Während 41 Prozent von hundert oder mehr Web-Applikationen in ihrer Organisation sprechen, untersuchen 66 Prozent weniger als ein Viertel dieser Applikationen auf Sicherheitslücken.
- Mehr als die Hälfte (53 Prozent) glauben, dass ihr Hosting-Provider ihre Web-Applikationen sichert.
- Obwohl Website-Attacken die größte Security-Sorge der Unternehmen sind, geben 88 Prozent mehr Geld für Kaffee als für den Schutz ihrer Webapplikationen aus.
Ressourcen und Expertise fehlen
Larry Ponemon, Vorstand und Gründer des Ponemon Instituts, fasst die Ergebnisse zusammen: "Während IT-Praktiker die Bedeutung sicherer Web Applications erkennen, bieten ihre Organisationen nicht die nötigen Mittel und auch nicht die nötige Expertise, um das Risiko zu begrenzen. Mehr als die Hälfte der Befragten glaubt, nicht die Ressourcen zu haben, um Sicherheitsmängel in Webapplikationen zu finden und zu beheben. Und 64 Prozent bezweifeln, dass ihre Organisation ausreichende Richtlinien für die Nutzung und Verwaltung von Web Applications hat."
Die vollständige Analyse der Studie ist verfügbar unter http://bit.ly/....
Laut 74 Prozent der Teilnehmer ist Web Application Security das kritischste Sicherheitsthema für ihre Organisation oder zumindest ebenso kritisch wie andere Sicherheitsaspekte. Dennoch, so zeigt die Studie, kursieren viele falsche Vorstellungen über die Methoden, wie Web-Applikationen geschützt werden. Das gilt insbesondere für Web Application Firewalls und der Einschätzung von Gefährdungen für Webseiten und Web-Applikationen.
Paul Judge, Chief Research Officer von Barracuda Networks, hält die Ergebnisse für bemerkenswert: "Während es durchaus ermutigend ist, dass viele Organisationen Web Application Security genau im Blick haben, gibt es doch eine enorme Lücke zwischen dem Wunsch nach Sicherheit für Web-Applikationen und der Implementierung von Schutzmaßnahmen, um sie zu erreichen. Wer, wie rund sieben von zehn Teilnehmern, dabei auf Netzwerk-Firewalls setzt, handelt wie jemand, der sich mit einem Pappschild in einen Schwertkampf wagt."
Weitere Ergebnisse der Studie:
- Die wichtigsten Gründe für den Schutz von Web-Applikationen sind Datensicherheit (62 Prozent) und Compliance (51 Prozent).
- Obwohl 51 Prozent Compliance als einen der Treiber für das Thema Web Application Security betrachten, können 43 Prozent mit einem wichtigen Begriff wie OWASP (Open Web Application Security Project), einem Hauptbestandteil von Compliance Standards, nichts oder wenig anfangen.
- Während 41 Prozent von hundert oder mehr Web-Applikationen in ihrer Organisation sprechen, untersuchen 66 Prozent weniger als ein Viertel dieser Applikationen auf Sicherheitslücken.
- Mehr als die Hälfte (53 Prozent) glauben, dass ihr Hosting-Provider ihre Web-Applikationen sichert.
- Obwohl Website-Attacken die größte Security-Sorge der Unternehmen sind, geben 88 Prozent mehr Geld für Kaffee als für den Schutz ihrer Webapplikationen aus.
Ressourcen und Expertise fehlen
Larry Ponemon, Vorstand und Gründer des Ponemon Instituts, fasst die Ergebnisse zusammen: "Während IT-Praktiker die Bedeutung sicherer Web Applications erkennen, bieten ihre Organisationen nicht die nötigen Mittel und auch nicht die nötige Expertise, um das Risiko zu begrenzen. Mehr als die Hälfte der Befragten glaubt, nicht die Ressourcen zu haben, um Sicherheitsmängel in Webapplikationen zu finden und zu beheben. Und 64 Prozent bezweifeln, dass ihre Organisation ausreichende Richtlinien für die Nutzung und Verwaltung von Web Applications hat."
Die vollständige Analyse der Studie ist verfügbar unter http://bit.ly/....
