Viele Systemhäuser entwickeln auch eigene Software und Apps. Das sind meist Ergänzungen zu den Megalit-Software-Suites großer Software-Häuser wie SAP, Microsoft, IBM, Oracle, Sage und Adobe. Doch wie bei jeder Software, sind auch die von den kleieneren ISVs entwickelten Programme und Apps nicht fehlerfrei. Nicht immer ist des den Software-Entwicklern möglich, diese Anwendungen auf Herz und Nieren zu prüfen. Das können aber andere Dienstleister übernehmen.
Selbst entwickelte Software ist keine Ausnahme
Bei der Vielfalt und Modularität von Standardsoftware könnte man davon ausgehen, dass der Bedarf für Individualsoftware abnimmt. Dem ist aber nicht so, wie zum Beispiel Untersuchungen von Forrester Research zeigen. Die notwendige Individualität geht sogar so weit, dass viele Unternehmen zur Eigenentwicklung greifen.
Obwohl entsprechende Fachkräfte relativ kostspielig und schwer zu finden sind, ist es vielen Unternehmen lieber, selbst die Softwareentwicklung lenken zu können. Man erwartet sich dadurch eine höhere Flexibilität und Zeitersparnis. Was allerdings durch die Eigenentwicklung nicht verhindert werden kann, sind die Programmierfehler und daraus resultierenden Sicherheitslücken.
Schwachstellen in Software sind teils selbst programmiert
Selbst professionelle Entwicklungshäuser konzentrieren sich darauf, zum Beispiel neue Apps möglichst schnell auf den Markt zu bringen, fokussieren auf Nutzerfreundlichkeit und achten dabei zu wenig auf die Sicherheit, wie eine IBM-Studie kürzlich zeigte.
Bei Eigenentwicklungen ist dies nicht anders. Hier besteht sogar noch eher die Gefahr, dass die wenigen IT-Experten, die im Unternehmen verfügbar sind, fast ausschließlich die Entwicklung vorantreiben. Maßnahmen im Bereich Software- und Sicherheitstests können schnell auf der Strecke bleiben.
Im Mangel steckt immer eine Chance: Test-Services anbieten
Die Anforderungen im Bereich IT-Sicherheit und Datenschutz steigen, während IT-Sicherheitstests zu kurz kommen. Denkt man an Vorgaben wie Security and Privacy by Design und an mögliche Folgen bei Datenpannen und IT-Sicherheitsvorfällen, sollten IT-Sicherheitstests deutlich mehr Gewicht erlangen. Ohne geeignete IT-Fachkräfte sind aber umfassende Softwaretests auf den ersten Blick kaum möglich.
Das gilt für Unternehmen, die selbst entwickeln genauso wie für IT-Dienstleister, die durchaus gerne ihren Kunden eine Testunterstützung anbieten würden. Auch bei den IT-Dienstleistern ist die Personaldecke an möglichen Softwaretestern dünn. Einen Ausweg können hier Test-Services aus der Cloud anbieten, die sich gut als Erweiterung des Portfolios von Systemhäusern eignen.
Web-Apps und mobile Apps lassen sich über die Cloud testen
Selbst kleinere IT-Dienstleister können dank Cloud-Services ein umfangreiches Portfolio für Softwaretests anbieten, ohne einen großen Stab an eigenen Softwaretestern haben zu müssen. Gerade in dem dynamischen Bereich der mobilen Apps und Web-Apps werden viele cloudbasierte Test-Services angeboten, die man als Partner selbst offerieren kann. Mobile Apps und Web-Apps sind nicht nur weit verbreitet, sie tragen auch eine Vielzahl an riskanten Schwachstellen in sich, wie zum Beispiel das OWASP-Projekt zeigt.
Die Cloud-Services, die sich als Testdienstleistung anbieten lassen, zielen unter anderem genau auf die von dem OWASP-Projekt genannten, besonders häufigen Sicherheitslücken ab. Beispiele für Testservices, die Web-Apps über die Cloud testen, sind Core CloudInspect für das Testen von Applikationen in AWS-Clouds, Veracode DynamicMP, Veracode DAST für Web-Apps und Qualys WAS für Web Application Scanning aus der Cloud oder mediaTest digital, die sich auf das Testen mobiler Applikationen spezialisiert hat. Denn laut mediaTest digital ist jede zweite App unsicher.
Für Test-Services im Bereich mobiler Apps kann auch Veracode Mobile Application Security einen Zugang bieten. Um neben den Testservices für webbasierte Apps auch Tests für mobile Apps anbieten zu können, lassen sich auf dem Markt ebenfalls Angebote finden, darunter HP Fority on Demand.
Achtung: Datenschutz gilt auch für Softwaretests
Cloud-Services machen das Angebot und die Nutzung von Testlösungen so einfach, dass man fast vergessen könnte, dass es auch rechtliche Vorgaben zu beachten gilt. IT-Dienstleister, die Cloud-Services anbieten wollen, sollten immer an die Vorgaben zur Auftragsdatenverabeitung denken, wenn personenbezogene Daten betroffen sein könnten, was meistens der Fall ist.
Obwohl bereits vor Jahren von den Aufsichtsbehörden klargestellt, wird häufig übersehen, dass für den Testbetrieb die gleichen hohen Datenschutz- und Sicherheitsanforderungen gelten wie für den Produktivbetrieb.
- HP Fortify on Demand
Test-Services wie HP Fortify on Demand liefern Sicherheitseinstufungen für Web-Apps und mobile Apps und helfen dabei, Anwendern und Kunden zu zeigen, wie sich Schwachstellen vermeiden lassen - Core Security Technologies
Test-Services wie Core CloudInspect liefern umfangreiche Reports, die dabei helfen, auch ohne eigene Testexperten auf Schwachstellensuche zu gehen. - Core Security Technologies
Cloud-Applikationen lassen sich mit Hilfe von Cloud-Services testen, AWS-Apps zum Beispiel mit Core CloudInspect. Test-Services aus der Cloud können ein interessantes Zusatzangebot für Systemhäuser sein. - Veracode
Cloudbasierte Testdienste wie die von Veracode sind in einem kompletten Testzyklus eingebettet und suchen zum Beispiel bei mobilen Apps nach Risiken. - mediaTest digital
Mit der App Risk Management-Lösung "Appvisory" verspricht der Hersteller mediaTest digiital sichere Enterprise Mobility.
Da gerade bei geschäftskritischen Web-Apps oder mobilen Apps das Interesse für Test-Services hoch ist, ist die strikte Einhaltung der Datenschutz- und Sicherheitsvorgaben absolute Pflicht. Schließlich sollen die Test-Services neues Geschäfts- und Kundenpotenzial heben und nicht Kundendaten in Gefahr bringen. (rw)