3 kostspielige Fehler bei der App- und API-Sicherheit und wie man sie vermeidet

Der Oktober ist der Monat der Cybersicherheit. Er soll in Erinnerung rufen, dass es zum Schutz Ihrer Organisation nicht nur auf die richtigen Tools ankommt, sondern auch auf kluge, strategische Investitionen in diese Tools. Angesichts sich wandelnder Bedrohungen und knapper werdender Budgets ist es für Sicherheitsleiter wichtiger denn je zu verstehen, wohin ihre Ressourcen fließen und ob ihre Lösungen tatsächlich einen Mehrwert bieten.

Die Ausgaben für Cybersicherheit werden in den nächsten zehn Jahren voraussichtlich erheblich wachsen. Laut Gartner wird der globale Markt für Informationssicherheit und Risikomanagement voraussichtlich bis 2026 267,3 Milliarden US-Dollar erreichen. Gleichzeitig zwingt die anhaltende wirtschaftliche und globale Unsicherheit die Unternehmensleiter jedoch dazu, selektiver zu sein und sich auf Kostensenkungen und die Optimierung ihrer Investitionen in Cybersicherheit zu konzentrieren.

Diese Realität bringt Führungskräfte der Sicherheit an einen kritischen Punkt: Sie müssen sicherstellen, dass alle Sicherheitslösungen, ob neu oder bereits vorhanden, innerhalb genauer Kostenschätzungen effektiv arbeiten. Ohne ein angemessenes Verständnis dafür, wie eine Sicherheitslösung funktioniert, kann es leicht passieren, dass man mehr Zeit, Geld, Ressourcen und Personal aufwendet als ursprünglich geplant. 

Das Versäumnis, diese Kosten im Voraus genau zu prognostizieren, kann in einem kritischen Moment zu Budgetstreitigkeiten führen oder sogar die Budgetzuweisung für das folgende Jahr beeinflussen.

Wie können Sicherheitsleiter ihre Sicherheitskosten im Griff behalten und finanzielle Probleme vermeiden? Eine Möglichkeit hierfür besteht darin, häufige Fehler bei der Anbieterauswahl zu verstehen, die zu unerwarteten Mehrausgaben führen.  Betrachten wir drei dieser Fehler und sehen wir uns an, wie Teams sie vermeiden können. 

Fehler Nr. 1: Verlängerung der Evaluierungs- und Deploymentzeiträume

Bei der Einführung oder Aktualisierung von Sicherheitsanbietern stehen Unternehmen vor einer entscheidenden Herausforderung, die ihr Geschäft gefährdet: der langwierige und aufwendige Prozess der Evaluierung und Implementierung von Software, insbesondere von Lösungen wie Web Application Firewalls (WAFs), die sensible Daten verarbeiten und das Kundenerlebnis beeinflussen. Die Opportunitätskosten einer Ausweitung von Tests, Bereitstellung oder sogar der Beschaffung können sich schnell summieren.

Die Ausweitung dieser Bewertung zu einem langen Proof of Concept verschärft das Problem nur. In vielen Fällen führen WAFs, die auf KI oder maschinellem Lernen basieren, zu weiteren Verzögerungen – ihre Lernphasen benötigen Zeit, um Traffic-Muster zu beobachten und zu verstehen, bevor sie wirksame Maßnahmen ergreifen können. Je nach Konfiguration können Verzögerungen in dieser Phase auch dazu führen, dass Apps aufgrund unzureichender Sicherheit potenziellen Angriffen oder Schwachstellen ausgesetzt sind.

Selbst nach erfolgreicher Bewältigung der POC-Phase können Beschaffung und Bereitstellung weitere Hindernisse darstellen. Komplizierte Preisstrukturen und Beschaffungsprozesse können die Einführung an kritischen Punkten verlangsamen oder sogar stoppen, wenn beide Parteien Schwierigkeiten haben, ihre Ziele aufeinander abzustimmen. Und umfangreiche Deployments, selbst zur Feinabstimmung des „Monitoring Mode“ der WAF, können zu einem erheblichen Zeit- und Ressourcenaufwand für das Personal führen.

Empfehlung: Optimierung der WAF-Bewertung und -Bereitstellung 

Organisationen müssen Evaluierungs- und Bereitstellungsprozesse priorisieren, die von klar definierten Zielen und Erfolgskriterien geleitet werden.

Um die Bewertung zu optimieren, sollten die Teams zu Beginn des Prozesses die durchschnittlichen Deployment-Zeiten, die technischen Anforderungen und die Schätzungen für Rechts- und Beschaffungsfragen bestätigen. Sie sollten sich auch im Vorfeld mit dem Anbieter über alle technologischen oder organisatorischen Hürden abstimmen, damit beide Seiten potenzielle Hindernisse angehen können, bevor sie zu Verzögerungen führen.

Durch die frühzeitige Offenlegung dieser Details und die Abstimmung im Rahmen einer Zusammenarbeit können Unternehmen unnötige Zyklen reduzieren, Bereitstellungszeiten verkürzen und ihre Anwendungen ohne unnötige Kosten oder Personalbelastungen schützen.

Fehler Nr. 2: Unterschätzung der Gesamtbetriebskosten 

Die Unterschätzung der Gesamtbetriebskosten (Total Cost of Ownership, TCO) einer WAF kann erhebliche Folgen haben. Über den Vertragspreis hinaus tragen verschiedene Faktoren wie Gebühren, Personalaufwand, Ausfallzeiten und Zusatzkosten zu den Gesamtbetriebskosten bei.

Die Sicherstellung der fortlaufenden Wirksamkeit Ihrer WAF kann mit der falschen Lösung kostspielig sein. Bei einigen WAFs sind mehrere Mitarbeiter erforderlich, um Regeln zu verwalten, Fehlalarme zu bearbeiten und Benachrichtigungen zu überwachen. Andere sind nicht so konfigurierbar und sind stark auf Professional Services oder Supportteams angewiesen, um Änderungen zu realisieren. Da sich Apps und Services weiterhin durch einzigartige digitale Erlebnisse differenzieren, können diese unvorhergesehenen Kosten schnell eskalieren, nur um das erforderliche Schutzniveau zu erreichen. Unflexible Bereitstellungsoptionen schränken auch die Möglichkeiten zur Kosteneinsparung ein, wie Edge Computing und Serverless-Funktionen.

Ein unterdurchschnittlicher Kundenservice verschärft das Problem noch weiter. Lange Service Level Agreements (SLAs) und langsame Ticketantworten können die rechtzeitige Abwehr von Angriffen und das virtuelle Patchen von Sicherheitslücken verzögern oder sogar verhindern, dass eine Website wieder online geht. Dies untergräbt nicht nur die Sicherheit unter Druck, sondern treibt auch die TCO durch vermehrte Support-Tickets, Überstunden bei der Reaktion auf Störungen, Gebühren für die Überschreitung des Datenvolumens und mehr in die Höhe.

Empfehlung: Schätzung der TCO mit funktionsübergreifenden Stakeholdern

Eine genaue Schätzung der Gesamtbetriebskosten (TCO) über den Vertragspreis hinaus kann nicht isoliert erfolgen. Sicherheitsleiter können die potenziellen Kosten eines WAF-Anbieters besser einschätzen, indem sie die Auswirkungen mit funktionsübergreifenden Teams besprechen und Inhalte von Erst- und Drittanbietern über den Anbieter prüfen. 

Da eine WAF viele Bereiche des Unternehmens betrifft, können Gespräche mit stark betroffenen funktionsübergreifenden Teams, wie z. B. Zuverlässigkeit, DevOps, Kundensupport und Störungsbehebung, die Auswirkungen einer ineffektiven WAF aufdecken. 

Während der Evaluierungsphase sollten Sicherheitsleiter einen WAF-Anbieter suchen, der klare SLAs und Überschreitungsrichtlinien hat, um die potenziellen Kosten abschätzen zu können. Sie können auch Bewertungsseiten wie Gartner Peer Insights oder in Auftrag gegebene Studien wie den Total Economic Impact™ (TEI) nutzen, um echte User Experiences aus verschiedenen Unternehmensgrößen und Branchen zu lesen.

Es ist ebenso wichtig zu überlegen, was tatsächlich erforderlich ist, um einen Nutzen aus der Investition zu ziehen. Einige WAFs erfordern Professional Services für die Konfiguration, Optimierung oder effektive Wartung – Kosten, die im Laufe der Zeit wiederkehren und sich schnell summieren können, wenn die Lösung nicht für eine einfache, interne Verwaltung ausgelegt ist. Die Erweiterung des Umfangs Ihrer TCO-Prognose kann helfen, teure Folgeeffekte zu vermeiden, die das gesamte Unternehmen beeinträchtigen.

Fehler Nr. 3: Behinderung agiler Entwicklungs- und DevOps-Prozesse

Agile Entwicklungsmethoden treiben Organisationen dazu an, Innovationen voranzutreiben und ihren Wettbewerbsvorteil zu erhalten. Allerdings kann jeder Prozess, der den Lebenszyklus der Softwareentwicklung (SDLC) verlangsamt, zu einer Verschwendung von Entwicklungsstunden und einem potenziellen Verlust von Umsätzen führen. Wenn die Umsatzziele nicht erreicht werden, geraten die Sicherheitsbudgets oft unter zusätzliche Beobachtung, was bedeutet, dass Verzögerungen im Lebenszyklus der Softwareentwicklung nicht nur dem Unternehmen schaden, sondern auch die Ressourcen für die Sicherheitsteams selbst verringern können.

Leider haftet dem Bereich Sicherheit oft das Stigma an, die „Abteilung des Nein“ zu sein, und herkömmliche WAFs können unbeabsichtigt den Fortschritt behindern. Die Aktualisierung von WAF-Regeln wird zu einer heiklen und zeitaufwendigen Aufgabe, da das Risiko besteht, dass Anwendungen nicht mehr funktionieren, was zu längeren Entwicklungszeiten und höheren Arbeitskosten führt. Außerdem können häufige False Positives zu überoptimierten WAF-Regeln führen, die echte Nutzer blockieren und potenzielle Gewinne senken.

Der Aufstieg von DevOps hat die Entwicklerteams revolutioniert und schnellere sowie effizientere Workflows ermöglicht. Viele WAFs verfügen jedoch nicht über die Automatisierung, Genauigkeit und Flexibilität, die erforderlich sind, um Schritt zu halten. Dies verlangsamt nicht nur die Entwicklungszyklen, sondern führt auch zu höheren Arbeitskosten, da die Teams Zeit mit der Fehlersuche oder dem Neuschreiben von Regeln verbringen. Die SmartParse-Technologie von Fastly beseitigt diese Reibungsverluste, indem Teams WAF-Schutzmaßnahmen auf Abruf bereitstellen können, ohne sich Sorgen machen zu müssen, dass Regeln die Anwendung beeinträchtigen. SmartParse eliminiert das Herumprobieren, das bei WAF-Deployments häufig auftritt, und ermöglicht es Entwicklern, die Geschwindigkeit aufrechtzuerhalten, Kosten zu senken und neue Funktionen auszuliefern, ohne dass es zu Sicherheitsengpässen kommt.

Empfehlung: Auswahl einer WAF, die agile Entwicklung unterstützt

Die Geschwindigkeit des Geschäftslebens erfordert, dass Entwickler die Philosophie „Always Be Shipping“ übernehmen, und die Sicherheit muss sich weiterentwickeln, um Schritt zu halten. Wenn es nicht ausreicht, Sicherheitsvorfälle zu verhindern, um ihr Budget zu schützen, können Führungskräfte aufzeigen, wie die Einführung einer modernen WAF eine schnellere und sicherere Produktentwicklung ermöglichen kann.

Bei der Evaluierung einer WAF müssen Unternehmen Lösungen priorisieren, die den Geschäftsbetrieb aufrechterhalten – wie die Integration mit DevOps-Tools und -Praktiken, automatisierte Regelaktualisierungen und die Unterstützung mehrerer Bereitstellungsoptionen und Architekturen –, um bessere Workflows zu schaffen und Ineffizienzen zu reduzieren. Die Wahl oder das Festhalten an einer herkömmlichen WAF kann sich negativ auswirken, wenn sie die Funktionsentwicklung oder Innovation behindert.

Optimierung Ihrer WAF-Investition: Vermeidung häufiger Fallstricke

Wenn man sich diese Fehler ansieht, wird deutlich, wie leicht es für Sicherheitsteams ist, viel mehr in eine WAF zu investieren, als ursprünglich geplant oder nötig war. Dies kann bei der Budgetplanung zu schwierigen Gesprächen führen, wenn von den Leitern verlangt wird, mit weniger Mitteln mehr zu erreichen. Diese potenziellen Fallstricke sind nicht immer offensichtlich und können zu betrieblichen Ineffizienzen, einem geringeren Ansehen der Abteilung oder sogar zu einer weniger sicheren Produktivumgebung führen.

Sicherheitsleiter müssen sich befähigt fühlen, finanziell fundierte Entscheidungen zu treffen, ohne die Sicherheitsleistung zu beeinträchtigen. Die Wahl einer modernen Next-Gen WAF vermeidet nicht nur eine Überschreitung des Budgets, sondern gewährleistet auch eine effizientere Ressourcenverteilung im gesamten Unternehmen, wodurch die Mitarbeiter im gesamten Unternehmen in die Lage versetzt werden, Innovationen voranzutreiben und mit Zuversicht zu agieren.

Der Cybersecurity Awareness Month ist der ideale Zeitpunkt, um Ihre aktuelle WAF-Strategie zu überdenken und Lösungen zu prüfen, die speziell für Sicherheit und Effizienz entwickelt wurden. Indem Sie diese häufigen Fallstricke vermeiden, kann Ihr Team den Bedrohungen einen Schritt voraus sein und seine Ziele erreichen – nicht nur in diesem Monat, sondern das ganze Jahr über. Sprechen Sie noch heute mit Fastly, um zu erfahren, wie wir Ihre WAF-Strategie optimieren und Wert in Ihrer Organisation freischalten können.