Lesen sie hier den Beitrag:

Warum Sicherheit in Software so entscheidend ist

Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind. Neben den damit verbundenen Möglichkeiten und Chancen gilt es aber auch Gefahren und Bedrohungsszenarien zu berücksichtigen. Darauf weist der Digitalverband Bitkom in seinem neuen Leitfaden „Zur Sicherheit softwarebasierter Produkte“ hin.

Warum Sicherheit in Software so entscheidend ist

Über grundlegende Fragen beleuchtet der Leitfaden ausführlich das Thema Sicherheit in der Herstellung und Verwendung von Software.

Bitkom-Experte Dr. Frank Termer, sagt:

„Gut funktionierende, sichere Software ist die entscheidende Komponente für die künftige Wertschöpfung in Unternehmen. Dazu soll der Leitfaden einen Beitrag leisten“

Umso wichtiger sei es, ein allgemeines Verständnis für Softwaresicherheit zu etablieren, das über die Fach-Community hinausgehe.

Thematisiert werden die Softwareentwicklung, Updates und warum Software nie ganz fehlerfrei sein kann, wie Hersteller eine möglichst hohe Software-Qualität gewährleisten, welche Schäden durch fehlerhafte Software entstehen können, woran Nutzer eine sichere Software erkennen beziehungsweise was sie selbst dazu beitragen können, Software sicher einzusetzen.  

Dazu ein Kommentar von Boris Cipot, Senior Sales Engineer bei Synopsys: 

Die Richtlinien des bitkom liefern eine klare Beschreibung des Software-Entwicklungsprozesses, des Software-Lebenszyklus und vor allem der damit verbundenen Probleme. Dabei konzentrieren sich die Autoren beim Software-Lebenszyklus nicht nur auf die Seite der Entwicklung, sondern beziehen auch die Perspektive der Software-Nutzer mit ein. Das ist mir besonders positiv aufgefallen. Hier wird berücksichtigt, worauf Anwender achten sollten, und warum man auch von ihnen bestimmte Vorkehrungen erwarten muss, um die Software-Qualität zu erhalten und funktionale Verbesserungen zu ermöglichen.


Die Richtlinien decken dabei ein breites Themenspektrum ab, vom Endpunktschutz, über Aktualisierungen und Patches bis hin zu Tools für die Entwicklungssicherheit und Zertifizierungen. Diese Themen sind gerade jetzt, wo die Digitalisierung einen zunehmend hohen Grad erreicht, wichtiger denn je. Wir beobachten den Übergang zu einer Situation, in der „jedes Unternehmen ein Softwareunternehmen ist“ schon seit Jahren. Die jüngsten Auswirkungen der Pandemie haben aber viele Unternehmen verunsichert. Selbst wenn vor der flächendeckenden Work-from-Home-Situation ausreichend strenge Sicherheitsrichtlinien existierten, haben sich unter dem aktuellen Handlungsdruck Praktiken eingeschlichen, die Cyberkriminellen Tür und Tor öffnen. Die Umstellung erfolgte wie wir alle wissen nicht sukzessive, sondern ad-hoc. Statt sich auf die Sicherheit der internen Arbeitsabläufe zu konzentrieren, galt es, möglichst schnell auf Arbeitsmodelle außerhalb der traditionellen Büroumgebung umzustellen. Zum Zeitdruck kam vielerorts die Unerfahrenheit mit Prozessen wie diesem.

Die drei wichtigsten Aspekte, die man als Software-Hersteller aus der Richtlinie ableiten und beherzigen sollte: 

1. Integrieren Sie Sicherheit in den gesamten Entwicklungsprozess

In der Richtlinie wird der Begriff „Shift Left“ verwendet. Hier würde ich noch einen Schritt weiter gehen; wir sprechen inzwischen vom „shift everywhere“. Unter dem Shift-Left-Konzept versteht man das Verschieben der Sicherheit nach links, so früh wie möglich im SDLC. Der Begriff wurde schnell zu einem Mantra für Anbieter. Man sollte das Konzept allerdings nicht auf Shift-Left einengen. Vielmehr geht es um „shift everywhere“. Also darum, eine Aktivität so schnell wie möglich und mit höchster Genauigkeit durchzuführen, sobald die Artefakte verfügbar sind, von denen diese Aktivität abhängt. Manchmal ist das links der laufenden Aktivitäten, aber oft ist es rechts, vielleicht sogar gänzlich innerhalb der Produktion. Erst das gewährleistet eine fließende Integration von Sicherheit und Qualität. Andernfalls werden Sicherheits- und Qualitätskontrollen zu einem Engpass im Release-Prozess. Damit wiederum geht die Gefahr einher, Sicherheitserfordernisse zu vernachlässigen, um eng getaktete Release-Zeitpläne einzuhalten.

2. Nutzen sie die besten verfügbaren Tools, um so schnell wie möglich zuverlässige Ergebnisse zu erzielen.

Behalten Sie im Hinterkopf, dass kein Tool alles leistet. Die SAST-Analyse (Static Application Security Testing) ist beispielsweise gut geeignet, um Schwachstellen in proprietärem Code zu finden. Wenn man sich hingegen auf die Suche nach Schwachstellen in den verwendeten Open Source-Komponenten machen will, sind SCA-Tools (Software Composition Analysis) die beste Wahl. Dazu kommen Technologien wie DAST (Dynamic Application Security Testing), IAST (Interactive Application Security Testing) und so weiter, die helfen, sichere und qualitativ hochwertige Software schneller zu erstellen.

3. Mit all dem sind Sie nicht allein

So wie es Tools gibt, die Risiken in der Entwicklung offenlegen, so gibt es Anbieter, die diese Tools nicht nur verkaufen, sondern die professionelle Dienstleistungen, Analyse, und Schulungen anbieten, wenn die internen Ressourcen fehlen. Gerade, wenn man sich erstmals intensiv mit diesem Thema beschäftigt oder gerade ein Projekt startet, ist es wichtig mit Experten zusammenzuarbeiten. Sei es bei Schulungen oder bei der Implementierung der Lösung selbst. Das trägt nicht unmaßgeblich zum Erfolg des Projekts bei. 

Analog zur Entwicklung gibt es auch für die Software-Nutzer auf der anderen Seite drei grundlegende Aspekte zu berücksichtigen:

Mit Benutzern sind übrigens auch solche gemeint, die Open-Source- oder 3rd-Party-Komponenten nutzen:

1. Patchen, Aktualisieren und Upgraden sind integrale Bestandteile von Sicherheit

Fehlen diese Komponenten, schwächt das die Resilienz von Organisation und Software. Geeignete Praktiken zur Risikominderung sind taugliche Kurzzeitmaßnahmen, um den Zeitraum zwischen der Offenlegung einer Schwachstelle und der Bereitstellung eines Patches zu überbrücken.

2. Sie sollten genau wissen, was sie verwenden

Viele Organisationen verfügen über Software-Kataloge, welche die verwendete Software nachverfolgen. Diese Verzeichnisse helfen auch, bevorstehende Aktualisierungen im Blick zu behalten oder Sicherheitsrisiken, die es zu beseitigen gilt. Was dabei allerdings gerne vergessen wird, ist zusätzliche Software, die dazu dient, die Funktionalität einer Software zu erweitern. Auch die sogenannten Plugins oder Erweiterungen (z.B. bei Internet-Browsern) sind ein potenzielles Risiko. Schließlich sind sie selbst Software-Pakete. Das heißt, man muss sie entweder in den Katalog der verwendeten Software aufnehmen oder eben verbieten. Dasselbe gilt für Software von Drittanbietern und Open-Source-Komponenten, die bei der Softwareentwicklung verwendet werden. Nur wenn Sie die bei der Entwicklung verwendeten Softwarebestandteile kennen, kennen Sie auch das mit ihnen verbundene Risiko und können es beheben.

3. Schulen Sie Ihre Mitarbeiter

Machen Sie explizit transparent, warum eine Software verboten ist oder bestimmte Geräte im Firmennetzwerk nicht erlaubt sind. Nur, wer die Bedrohungen versteht, die mit unsicherer Software einhergehen, und weiß, was notwendig ist, um Softwaresicherheit zu gewährleisten, der wird auch Richtlinien befolgen. Dasselbe gilt für die Entwicklung. Wenn Entwickler verstehen, warum genau Sicherheit und an welcher Stelle wichtig ist, werden sie die entsprechenden Tools bereitwilliger einführen und deutlich schneller „Security by Design“ zu ihrer Sache machen“.

weitere Beiträge zum Thema:

 

Der EAS-Insider – Ihr Navigator zu einem erfolgreichem Business!

So kann Sie Unternehmenssoftware erfolgreicher machen:

Was ist Unternehmenssoftware?

Unternehmenssoftware ist eine Sammlung von Anwendungen und Tools, die speziell entwickelt wurden, um Geschäftsprozesse effizienter zu gestalten. Sie deckt eine Vielzahl von Funktionen ab, darunter Buchhaltung, Personalwesen, Kundenbeziehungsmanagement (CRM), Lieferkettenmanagement und Enterprise Resource Planning (ERP). Diese Softwarelösungen unterstützen Unternehmen dabei, ihre Abläufe zu automatisieren, Daten effizient zu verwalten und die Zusammenarbeit zwischen Abteilungen zu verbessern. Durch den Einsatz von Unternehmenssoftware können Unternehmen fundierte Entscheidungen treffen, indem sie Echtzeitdaten und Analysen nutzen. Darüber hinaus ermöglicht sie die Skalierung von Geschäftsaktivitäten, die Reduzierung von Kosten und die Verbesserung der Kundenzufriedenheit, was letztendlich zur Steigerung der Wettbewerbsfähigkeit beiträgt.

Wie kann Unternehmenssoftware ein Unternehmen digital erfolgreicher machen?

Unternehmenssoftware kann Unternehmen digital erfolgreicher machen, indem sie Geschäftsprozesse automatisiert und optimiert, wodurch Effizienz und Produktivität steigen. Sie ermöglicht die Integration verschiedener Abteilungen und fördert eine nahtlose Zusammenarbeit, indem sie Echtzeitdaten bereitstellt. Durch präzise Datenanalysen können Unternehmen fundierte Entscheidungen treffen und Markttrends schneller erkennen. Unternehmenssoftware verbessert zudem die Kundenbeziehungen durch effektives Kundenbeziehungsmanagement (CRM), was zu gesteigerter Kundenzufriedenheit und -bindung führt. Die Automatisierung von Routineaufgaben reduziert menschliche Fehler und spart Zeit und Ressourcen. Darüber hinaus unterstützt sie Unternehmen dabei, flexibel auf Veränderungen zu reagieren und ihre digitale Transformation voranzutreiben, um im Wettbewerbsumfeld erfolgreich zu bleiben.

Wichtige Schlagworte im Kontext von Unternehmenssoftware:

Digitalisierung

Der Prozess, bei dem analoge Geschäftsprozesse in gute und sinvolle digitale umgewandelt werden, um Effizienz und Produktivität zu steigern.

Integration

Die Verbindung verschiedener Softwarelösungen und Systeme, um einen reibungslosen Informationsfluss und eine einheitliche Datenbasis im Unternehmen zu gewährleisten.

Automatisierung

Der Einsatz von Software zur Durchführung wiederkehrender Aufgaben ohne menschliches Eingreifen, um Fehler zu reduzieren und Ressourcen zu sparen.

Aktuelle Beiträge zum Thema Unternehmenssoftware:

Unsere aktuellen Blog-Beiträge!

Das sind die aktuellen Beiträge zum Thema:

Aktuelle Beiträge zum Thema:
 

DAS EAS-MAG-Glossar für den Beitrag:

Warum Sicherheit in Software so entscheidend ist

EAS-MAG-Glossar:

Datensicherheit

Datensicherheit bezeichnet den Schutz sensibler Informationen vor unautorisiertem Zugriff, Verlust oder Manipulation. Dies umfasst Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Authentifizierung und regelmäßige Sicherheitsüberprüfungen. Unternehmenssoftware muss robuste Sicherheitsprotokolle integrieren, um Daten sowohl während der Speicherung als auch bei der Übertragung zu schützen. Datensicherheit ist entscheidend, um gesetzliche Anforderungen zu erfüllen, das Vertrauen von Kunden zu gewinnen und den Geschäftsbetrieb vor Cyberbedrohungen zu schützen. Sicherheitslücken können zu erheblichen finanziellen Verlusten und Reputationsschäden führen. Daher ist die Implementierung effektiver Datensicherheitsstrategien ein zentraler Bestandteil der IT-Infrastruktur in Unternehmen, um die Integrität und Verfügbarkeit der Daten zu gewährleisten.

 
Transparenzhinweis für Pressemitteilung
Warum Sicherheit in Software so entscheidend ist

Unternehmen

bitkom

Autor