Was macht die Superhelden des New Normal aus?

Softwareentwicklung braucht „Security Champions“

Anwendungen und Plattformen sind die Grundpfeiler des digitalen Wandels. Durch Restriktionen und Einschränkungen im Rahmen der COVID-19-Pandemie wurde der Digitalisierungsschub nochmal enorm vorangetrieben. Die Zukunft ist ungewiss – der Bedarf an sicheren und digitalen Lösungen bleibt weiterhin hoch.

Deshalb braucht die Softwareentwicklung Superhelden – sogenannte Security Champions – die Sicherheit bereits während den Entwicklungsprozess mitdenken. Julian Totzek-Hallhuber, Principal Solutions Architect bei Veracode, gibt Einblicke in die Fähigkeiten, die Security Champions ausmachen.

Anzeige

Die neue Normalität ist vor allem eins: Digital. Unternehmen und Verbraucher waren durch die Rahmenbedingungen der Pandemie gezwungen, ihre Prozesse und Tätigkeiten in die digitale Sphäre zu verschieben. Home-Office, E-Commerce oder E-Learning – all diese Services benötigen sichere und effiziente Anwendungen. Der elfte State of Software Security (SoSS) Report von Veracode deckt nun zahlreiche Schwächen im Bereich der Anwendungssicherheit auf. Um diese zu beseitigen, braucht die Softwareentwicklung wahre Superhelden.

Herausforderungen für die Anwendungssicherheit

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Dadurch bietet die branchenweit umfangreichste Studie einen umfassenden Überblick über den Status quo der Anwendungssicherheit. Eine zentrale Erkenntnis des aktuellen Reports: Scans sind ein entscheidender Faktor. Mithilfe von statischer Analyse (SAST) durch die API können Unternehmen Sicherheitsrisiken im Schnitt 17 Tage schneller beheben. Häufige Scans, eine Kombination aus statischer und dynamischer Analyse (DAST), die Implementierung einer regelmäßigen Scan-Rate sowie die Verwendung von Software-Composition-Analyse (SCA) mit SAST führen zu einer schnelleren Behebung von Schwachstellen und zu einer höheren Anwendungssicherheit.

Außerdem können Entwickler durch die Wahl ihrer Werkzeuge die Anwendungssicherheit beeinflussen: Open-Source-Software ist anfällig für Angriffe durch Cyberkriminelle. Gleichzeitig stellen Programme, die mit C++ und PHP geschrieben wurden, ein erhöhtes Risiko dar. So weisen 59 Prozent der C++-Anwendungen hohe oder sogar sehr hohe Sicherheitsrisiken auf – bei PHP sind es 53 Prozent. Datenlecks sind die häufigste Art Fehler, die zu mangelnder Anwendungssicherheit führen. Die Herausforderung für Entwickler in Zukunft: Unterschiedliche Sicherheitsprobleme in einer zunehmend digitalisierten Umgebung identifizieren und beheben.

Softwareentwicklung braucht „Security Champions“

Agilität und Flexibilität sind heute und in Zukunft notwendige Attribute für jeden Entwickler. Zusätzlich kann umfassende Expertise dabei unterstützen, bestehende Probleme und Risiken nicht nur zu erkennen, sondern auch zu beheben. Daher sollten Entwickler in Zukunft nicht nur Programme entwickeln können, sondern auch relevante Qualitätskriterien für diese kennen und im Bereich Cybersecurity bewandert sein. Sie müssen ihre Programme testen und alle während des Entwicklungsprozesses entdeckten Schwachstellen beheben. Wahre Security Champions folgen dabei dem DevSecOps-Ansatz: Sie kombinieren Wissen und Praktiken aus der Softwareentwicklung, der IT-Sicherheit und dem IT-Betrieb. Dadurch entstehen Anwendungen, die bereits bei der Entwicklung maximal sicher sind. Zusätzlich können sie so zahlreiche Aufgaben gleichzeitig in hoher Geschwindigkeit erledigen und ein ununterbrochenes Deployment gewährleisten. Eine zentrale DevSecOps-Praxis sind beispielsweise regelmäßige Scans – eines der größten identifizierten Defizite im aktuellen SoSS Report.

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Trainings für Entwickler wirken dem Fachkräftemangel in der IT-Sicherheitsbranche entgegen

Die richtige Weiterbildung und gezielte Sicherheitstrainings für Entwickler spielen für den Erfolg in der neuen digitalen Normalität eine große Rolle. Dennoch ist die Ausbildung rund um sicheres Coding auf universitärer Ebene fast nicht vorhanden – obwohl sie Kernbestandteil eines Informatik- und Cybersicherheits-Lehrplans sein sollte. Hier ist somit die Eigeninitiative der Unternehmen oder der Entwickler selbst gefragt, denn Superhelden in der Softwareentwicklung sind neugierig: Sie schauen über den Tellerrand, wollen immer auf dem neusten Stand bleiben und bilden sich durchgehend weiter. Security Champions können Unternehmen dabei helfen, diese Herausforderung zu meistern, indem sie Wissen zwischen Entwicklern und Sicherheitsteams vermitteln und gleichzeitig Flagge für die Ausbildung von Entwicklern zeigen.

Julian Totzek-Hallhuber

Veracode -

Senior Principal Solutions Architect

(Bildquelle: Veracode)Julian Totzek-Hallhuber ist Senior Principal Solutions Architect bei Veracode. Als Spezialist für Anwendungssicherheit mit mehr als 15 Jahren Erfahrung im IT-Sicherheitsumfeld, verfügt er über Expertise in den Bereichen Anwendungsentwicklung, Penetrationstests sowie Sicherheit von Webanwendungen. Zudem ist er Autor zahlreicher Artikel, regelmäßig als Sprecher auf Messen anzutreffen und hat

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.