Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind. Neben den damit verbundenen Möglichkeiten und Chancen gilt es aber auch Gefahren und Bedrohungsszenarien zu berücksichtigen. Darauf weist der Digitalverband Bitkom in seinem neuen Leitfaden „Zur Sicherheit softwarebasierter Produkte“ hin.
Warum Sicherheit in Software so entscheidend ist
Über grundlegende Fragen beleuchtet der Leitfaden ausführlich das Thema Sicherheit in der Herstellung und Verwendung von Software.
Bitkom-Experte Dr. Frank Termer, sagt:
„Gut funktionierende, sichere Software ist die entscheidende Komponente für die künftige Wertschöpfung in Unternehmen. Dazu soll der Leitfaden einen Beitrag leisten“
Umso wichtiger sei es, ein allgemeines Verständnis für Softwaresicherheit zu etablieren, das über die Fach-Community hinausgehe.
Thematisiert werden die Softwareentwicklung, Updates und warum Software nie ganz fehlerfrei sein kann, wie Hersteller eine möglichst hohe Software-Qualität gewährleisten, welche Schäden durch fehlerhafte Software entstehen können, woran Nutzer eine sichere Software erkennen beziehungsweise was sie selbst dazu beitragen können, Software sicher einzusetzen.
Dazu ein Kommentar von Boris Cipot, Senior Sales Engineer bei Synopsys:
Die Richtlinien des bitkom liefern eine klare Beschreibung des Software-Entwicklungsprozesses, des Software-Lebenszyklus und vor allem der damit verbundenen Probleme. Dabei konzentrieren sich die Autoren beim Software-Lebenszyklus nicht nur auf die Seite der Entwicklung, sondern beziehen auch die Perspektive der Software-Nutzer mit ein. Das ist mir besonders positiv aufgefallen. Hier wird berücksichtigt, worauf Anwender achten sollten, und warum man auch von ihnen bestimmte Vorkehrungen erwarten muss, um die Software-Qualität zu erhalten und funktionale Verbesserungen zu ermöglichen.
Die Richtlinien decken dabei ein breites Themenspektrum ab, vom Endpunktschutz, über Aktualisierungen und Patches bis hin zu Tools für die Entwicklungssicherheit und Zertifizierungen. Diese Themen sind gerade jetzt, wo die Digitalisierung einen zunehmend hohen Grad erreicht, wichtiger denn je. Wir beobachten den Übergang zu einer Situation, in der „jedes Unternehmen ein Softwareunternehmen ist“ schon seit Jahren. Die jüngsten Auswirkungen der Pandemie haben aber viele Unternehmen verunsichert. Selbst wenn vor der flächendeckenden Work-from-Home-Situation ausreichend strenge Sicherheitsrichtlinien existierten, haben sich unter dem aktuellen Handlungsdruck Praktiken eingeschlichen, die Cyberkriminellen Tür und Tor öffnen. Die Umstellung erfolgte wie wir alle wissen nicht sukzessive, sondern ad-hoc. Statt sich auf die Sicherheit der internen Arbeitsabläufe zu konzentrieren, galt es, möglichst schnell auf Arbeitsmodelle außerhalb der traditionellen Büroumgebung umzustellen. Zum Zeitdruck kam vielerorts die Unerfahrenheit mit Prozessen wie diesem.
Die drei wichtigsten Aspekte, die man als Software-Hersteller aus der Richtlinie ableiten und beherzigen sollte:
1. Integrieren Sie Sicherheit in den gesamten Entwicklungsprozess
In der Richtlinie wird der Begriff „Shift Left“ verwendet. Hier würde ich noch einen Schritt weiter gehen; wir sprechen inzwischen vom „shift everywhere“. Unter dem Shift-Left-Konzept versteht man das Verschieben der Sicherheit nach links, so früh wie möglich im SDLC. Der Begriff wurde schnell zu einem Mantra für Anbieter. Man sollte das Konzept allerdings nicht auf Shift-Left einengen. Vielmehr geht es um „shift everywhere“. Also darum, eine Aktivität so schnell wie möglich und mit höchster Genauigkeit durchzuführen, sobald die Artefakte verfügbar sind, von denen diese Aktivität abhängt. Manchmal ist das links der laufenden Aktivitäten, aber oft ist es rechts, vielleicht sogar gänzlich innerhalb der Produktion. Erst das gewährleistet eine fließende Integration von Sicherheit und Qualität. Andernfalls werden Sicherheits- und Qualitätskontrollen zu einem Engpass im Release-Prozess. Damit wiederum geht die Gefahr einher, Sicherheitserfordernisse zu vernachlässigen, um eng getaktete Release-Zeitpläne einzuhalten.
2. Nutzen sie die besten verfügbaren Tools, um so schnell wie möglich zuverlässige Ergebnisse zu erzielen.
Behalten Sie im Hinterkopf, dass kein Tool alles leistet. Die SAST-Analyse (Static Application Security Testing) ist beispielsweise gut geeignet, um Schwachstellen in proprietärem Code zu finden. Wenn man sich hingegen auf die Suche nach Schwachstellen in den verwendeten Open Source-Komponenten machen will, sind SCA-Tools (Software Composition Analysis) die beste Wahl. Dazu kommen Technologien wie DAST (Dynamic Application Security Testing), IAST (Interactive Application Security Testing) und so weiter, die helfen, sichere und qualitativ hochwertige Software schneller zu erstellen.
3. Mit all dem sind Sie nicht allein
So wie es Tools gibt, die Risiken in der Entwicklung offenlegen, so gibt es Anbieter, die diese Tools nicht nur verkaufen, sondern die professionelle Dienstleistungen, Analyse, und Schulungen anbieten, wenn die internen Ressourcen fehlen. Gerade, wenn man sich erstmals intensiv mit diesem Thema beschäftigt oder gerade ein Projekt startet, ist es wichtig mit Experten zusammenzuarbeiten. Sei es bei Schulungen oder bei der Implementierung der Lösung selbst. Das trägt nicht unmaßgeblich zum Erfolg des Projekts bei.
Analog zur Entwicklung gibt es auch für die Software-Nutzer auf der anderen Seite drei grundlegende Aspekte zu berücksichtigen:
Mit Benutzern sind übrigens auch solche gemeint, die Open-Source- oder 3rd-Party-Komponenten nutzen:
1. Patchen, Aktualisieren und Upgraden sind integrale Bestandteile von Sicherheit
Fehlen diese Komponenten, schwächt das die Resilienz von Organisation und Software. Geeignete Praktiken zur Risikominderung sind taugliche Kurzzeitmaßnahmen, um den Zeitraum zwischen der Offenlegung einer Schwachstelle und der Bereitstellung eines Patches zu überbrücken.
2. Sie sollten genau wissen, was sie verwenden
Viele Organisationen verfügen über Software-Kataloge, welche die verwendete Software nachverfolgen. Diese Verzeichnisse helfen auch, bevorstehende Aktualisierungen im Blick zu behalten oder Sicherheitsrisiken, die es zu beseitigen gilt. Was dabei allerdings gerne vergessen wird, ist zusätzliche Software, die dazu dient, die Funktionalität einer Software zu erweitern. Auch die sogenannten Plugins oder Erweiterungen (z.B. bei Internet-Browsern) sind ein potenzielles Risiko. Schließlich sind sie selbst Software-Pakete. Das heißt, man muss sie entweder in den Katalog der verwendeten Software aufnehmen oder eben verbieten. Dasselbe gilt für Software von Drittanbietern und Open-Source-Komponenten, die bei der Softwareentwicklung verwendet werden. Nur wenn Sie die bei der Entwicklung verwendeten Softwarebestandteile kennen, kennen Sie auch das mit ihnen verbundene Risiko und können es beheben.
3. Schulen Sie Ihre Mitarbeiter
Machen Sie explizit transparent, warum eine Software verboten ist oder bestimmte Geräte im Firmennetzwerk nicht erlaubt sind. Nur, wer die Bedrohungen versteht, die mit unsicherer Software einhergehen, und weiß, was notwendig ist, um Softwaresicherheit zu gewährleisten, der wird auch Richtlinien befolgen. Dasselbe gilt für die Entwicklung. Wenn Entwickler verstehen, warum genau Sicherheit und an welcher Stelle wichtig ist, werden sie die entsprechenden Tools bereitwilliger einführen und deutlich schneller „Security by Design“ zu ihrer Sache machen“.
