Anzeige

Cybersecurity

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind. 

Neben den damit verbundenen Möglichkeiten und Chancen gilt es aber auch Gefahren und Bedrohungsszenarien zu berücksichtigen.

Darauf weist der Digitalverband Bitkom in seinem neuen Leitfaden „Zur Sicherheit softwarebasierter Produkte“ hin. Über grundlegende Fragen beleuchtet der Leitfaden ausführlich das Thema Sicherheit in der Herstellung und Verwendung von Software. „Gut funktionierende, sichere Software ist die entscheidende Komponente für die künftige Wertschöpfung in Unternehmen“, sagt Bitkom-Experte Dr. Frank Termer. Umso wichtiger sei es, ein allgemeines Verständnis für Softwaresicherheit zu etablieren, das über die Fach-Community hinausgehe. 

Berücksichtigt werden die Themen Softwareentwicklung, Software-Updates, Qualitätssicherung, Softwarefehler und warum Software niemals ganz fehlerfrei sein kann. Neben der Entwicklerseite berücksichtigt der Leitfaden aber auch die Rolle der Nutzer und was diese selbst tun können, um den Einsatz einer Software sicherer zu machen.

Dazu ein Kommentar von Boris Cipot, Senior Sales Engineer bei Synopsys:

"Die Richtlinien des bitkom liefern eine klare Beschreibung des Software-Entwicklungsprozesses, des Software-Lebenszyklus und vor allem der damit verbundenen Probleme. Dabei konzentrieren sich die Autoren beim Software-Lebenszyklus nicht nur auf die Seite der Entwicklung, sondern beziehen auch die Perspektive der Software-Nutzer mit ein. Das ist mir besonders positiv aufgefallen. Hier wird berücksichtigt, worauf Anwender achten sollten, und warum man auch von ihnen bestimmte Vorkehrungen erwarten muss, um die Software-Qualität zu erhalten und funktionale Verbesserungen zu ermöglichen.

Die Richtlinien decken dabei ein breites Themenspektrum ab, vom Endpunktschutz, über Aktualisierungen und Patches bis hin zu Tools für die Entwicklungssicherheit und Zertifizierungen. Diese Themen sind gerade jetzt, wo die Digitalisierung einen zunehmend hohen Grad erreicht, wichtiger denn je. Wir beobachten den Übergang zu einer Situation, in der "jedes Unternehmen ein Softwareunternehmen ist" schon seit Jahren. Die jüngsten Auswirkungen der Pandemie haben aber viele Unternehmen verunsichert. Selbst wenn vor der flächendeckenden Work-from-Home-Situation ausreichend strenge Sicherheitsrichtlinien existierten, haben sich unter dem aktuellen Handlungsdruck Praktiken eingeschlichen, die Cyberkriminellen Tür und Tor öffnen. Die Umstellung erfolgte wie wir alle wissen nicht sukzessive, sondern ad-hoc. Statt sich auf die Sicherheit der internen Arbeitsabläufe zu konzentrieren, galt es, möglichst schnell auf Arbeitsmodelle außerhalb der traditionellen Büroumgebung umzustellen. Zum Zeitdruck kam vielerorts die Unerfahrenheit mit Prozessen wie diesem.

Die drei wichtigsten Aspekte, die man als Software-Hersteller aus der Richtlinie ableiten und beherzigen sollte:

  1. Integrieren Sie Sicherheit in den gesamten Entwicklungsprozess. In der Richtlinie wird der Begriff „Shift Left“ verwendet. Hier würde ich noch einen Schritt weiter gehen; wir sprechen inzwischen vom „shift everywhere“. Unter dem Shift-Left-Konzept versteht man das Verschieben der Sicherheit nach links, so früh wie möglich im SDLC. Der Begriff wurde schnell zu einem Mantra für Anbieter. Man sollte das Konzept allerdings nicht auf Shift-Left einengen. Vielmehr geht es um „shift everywhere“. Also darum, eine Aktivität so schnell wie möglich und mit höchster Genauigkeit durchzuführen, sobald die Artefakte verfügbar sind, von denen diese Aktivität abhängt. Manchmal ist das links der laufenden Aktivitäten, aber oft ist es rechts, vielleicht sogar gänzlich innerhalb der Produktion. Erst das gewährleistet eine fließende Integration von Sicherheit und Qualität. Andernfalls werden Sicherheits- und Qualitätskontrollen zu einem Engpass im Release-Prozess. Damit wiederum geht die Gefahr einher, Sicherheitserfordernisse zu vernachlässigen, um eng getaktete Release-Zeitpläne einzuhalten.
  2. Nutzen sie die besten verfügbaren Tools, um so schnell wie möglich zuverlässige Ergebnisse zu erzielen. Behalten Sie im Hinterkopf, dass kein Tool alles leistet. Die SAST-Analyse (Static Application Security Testing) ist beispielsweise gut geeignet, um Schwachstellen in proprietärem Code zu finden. Wenn man sich hingegen auf die Suche nach Schwachstellen in den verwendeten Open Source-Komponenten machen will, sind SCA-Tools (Software Composition Analysis) die beste Wahl. Dazu kommen Technologien wie DAST (Dynamic Application Security Testing), IAST (Interactive Application Security Testing) und so weiter, die helfen, sichere und qualitativ hochwertige Software schneller zu erstellen.
  3. Mit all dem sind Sie nicht allein. So wie es Tools gibt, die Risiken in der Entwicklung offenlegen, so gibt es Anbieter, die diese Tools nicht nur verkaufen, sondern die professionelle Dienstleistungen, Analyse, und Schulungen anbieten, wenn die internen Ressourcen fehlen. Gerade, wenn man sich erstmals intensiv mit diesem Thema beschäftigt oder gerade ein Projekt startet, ist es wichtig mit Experten zusammenzuarbeiten. Sei es bei Schulungen oder bei der Implementierung der Lösung selbst. Das trägt nicht unmaßgeblich zum Erfolg des Projekts bei.

Analog zur Entwicklung gibt es auch für die Software-Nutzer auf der anderen Seite drei grundlegende Aspekte zu berücksichtigen.

Mit Benutzern sind übrigens auch solche gemeint, die Open-Source- oder 3rd-Party-Komponenten nutzen:

  1. Patchen, Aktualisieren und Upgraden sind integrale Bestandteile von Sicherheit. Fehlen diese Komponenten, schwächt das die Resilienz von Organisation und Software. Geeignete Praktiken zur Risikominderung sind taugliche Kurzzeitmaßnahmen, um den Zeitraum zwischen der Offenlegung einer Schwachstelle und der Bereitstellung eines Patches zu überbrücken.
  2. Sie sollten genau wissen, was sie verwenden. Viele Organisationen verfügen über Software-Kataloge, welche die verwendete Software nachverfolgen. Diese Verzeichnisse helfen auch, bevorstehende Aktualisierungen im Blick zu behalten oder Sicherheitsrisiken, die es zu beseitigen gilt. Was dabei allerdings gerne vergessen wird, ist zusätzliche Software, die dazu dient, die Funktionalität einer Software zu erweitern. Auch die sogenannten Plugins oder Erweiterungen (z.B. bei Internet-Browsern) sind ein potenzielles Risiko. Schließlich sind sie selbst Software-Pakete. Das heißt, man muss sie entweder in den Katalog der verwendeten Software aufnehmen oder eben verbieten. Dasselbe gilt für Software von Drittanbietern und Open-Source-Komponenten, die bei der Softwareentwicklung verwendet werden. Nur wenn Sie die bei der Entwicklung verwendeten Softwarebestandteile kennen, kennen Sie auch das mit ihnen verbundene Risiko und können es beheben.
  3. Schulen Sie Ihre Mitarbeiter. Machen Sie explizit transparent, warum eine Software verboten ist oder bestimmte Geräte im Firmennetzwerk nicht erlaubt sind. Nur, wer die Bedrohungen versteht, die mit unsicherer Software einhergehen, und weiß, was notwendig ist, um Softwaresicherheit zu gewährleisten, der wird auch Richtlinien befolgen. Dasselbe gilt für die Entwicklung. Wenn Entwickler verstehen, warum genau Sicherheit und an welcher Stelle wichtig ist, werden sie die entsprechenden Tools bereitwilliger einführen und deutlich schneller "Security by Design" zu ihrer Sache machen".
Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Artikel zu diesem Thema

Hackergruppe
Nov 19, 2020

Lazarus-Gruppe manipuliert Sicherheitssoftware

ESET-Forscher haben eine Kampagne der Lazarus-Gruppe aufgedeckt, die es gezielt auf…
Botnet
Nov 14, 2020

Botnet nutzt CMS-Schwachstelle und infiziert über 200.000 Websites

Die Botnet-Gruppierung KashmirBlack hat in den letzten elf Monaten mindestens 230.000…
Umsatzrückgang
Mär 24, 2020

Umsatzrückgänge durch gescheiterte Digitalisierungsprozesse

Drei von vier Unternehmen erwarten Verluste, wenn die digitale Transformation in den…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.