Kommentar

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind. 

Neben den damit verbundenen Möglichkeiten und Chancen gilt es aber auch Gefahren und Bedrohungsszenarien zu berücksichtigen.

Anzeige

Darauf weist der Digitalverband Bitkom in seinem neuen Leitfaden „Zur Sicherheit softwarebasierter Produkte“ hin. Über grundlegende Fragen beleuchtet der Leitfaden ausführlich das Thema Sicherheit in der Herstellung und Verwendung von Software. „Gut funktionierende, sichere Software ist die entscheidende Komponente für die künftige Wertschöpfung in Unternehmen“, sagt Bitkom-Experte Dr. Frank Termer. Umso wichtiger sei es, ein allgemeines Verständnis für Softwaresicherheit zu etablieren, das über die Fach-Community hinausgehe. 

Berücksichtigt werden die Themen Softwareentwicklung, Software-Updates, Qualitätssicherung, Softwarefehler und warum Software niemals ganz fehlerfrei sein kann. Neben der Entwicklerseite berücksichtigt der Leitfaden aber auch die Rolle der Nutzer und was diese selbst tun können, um den Einsatz einer Software sicherer zu machen.

Dazu ein Kommentar von Boris Cipot, Senior Sales Engineer bei Synopsys:

„Die Richtlinien des bitkom liefern eine klare Beschreibung des Software-Entwicklungsprozesses, des Software-Lebenszyklus und vor allem der damit verbundenen Probleme. Dabei konzentrieren sich die Autoren beim Software-Lebenszyklus nicht nur auf die Seite der Entwicklung, sondern beziehen auch die Perspektive der Software-Nutzer mit ein. Das ist mir besonders positiv aufgefallen. Hier wird berücksichtigt, worauf Anwender achten sollten, und warum man auch von ihnen bestimmte Vorkehrungen erwarten muss, um die Software-Qualität zu erhalten und funktionale Verbesserungen zu ermöglichen.

Anzeige

Die Richtlinien decken dabei ein breites Themenspektrum ab, vom Endpunktschutz, über Aktualisierungen und Patches bis hin zu Tools für die Entwicklungssicherheit und Zertifizierungen. Diese Themen sind gerade jetzt, wo die Digitalisierung einen zunehmend hohen Grad erreicht, wichtiger denn je. Wir beobachten den Übergang zu einer Situation, in der „jedes Unternehmen ein Softwareunternehmen ist“ schon seit Jahren. Die jüngsten Auswirkungen der Pandemie haben aber viele Unternehmen verunsichert. Selbst wenn vor der flächendeckenden Work-from-Home-Situation ausreichend strenge Sicherheitsrichtlinien existierten, haben sich unter dem aktuellen Handlungsdruck Praktiken eingeschlichen, die Cyberkriminellen Tür und Tor öffnen. Die Umstellung erfolgte wie wir alle wissen nicht sukzessive, sondern ad-hoc. Statt sich auf die Sicherheit der internen Arbeitsabläufe zu konzentrieren, galt es, möglichst schnell auf Arbeitsmodelle außerhalb der traditionellen Büroumgebung umzustellen. Zum Zeitdruck kam vielerorts die Unerfahrenheit mit Prozessen wie diesem.

Die drei wichtigsten Aspekte, die man als Software-Hersteller aus der Richtlinie ableiten und beherzigen sollte:

  1. Integrieren Sie Sicherheit in den gesamten Entwicklungsprozess. In der Richtlinie wird der Begriff „Shift Left“ verwendet. Hier würde ich noch einen Schritt weiter gehen; wir sprechen inzwischen vom „shift everywhere“. Unter dem Shift-Left-Konzept versteht man das Verschieben der Sicherheit nach links, so früh wie möglich im SDLC. Der Begriff wurde schnell zu einem Mantra für Anbieter. Man sollte das Konzept allerdings nicht auf Shift-Left einengen. Vielmehr geht es um „shift everywhere“. Also darum, eine Aktivität so schnell wie möglich und mit höchster Genauigkeit durchzuführen, sobald die Artefakte verfügbar sind, von denen diese Aktivität abhängt. Manchmal ist das links der laufenden Aktivitäten, aber oft ist es rechts, vielleicht sogar gänzlich innerhalb der Produktion. Erst das gewährleistet eine fließende Integration von Sicherheit und Qualität. Andernfalls werden Sicherheits- und Qualitätskontrollen zu einem Engpass im Release-Prozess. Damit wiederum geht die Gefahr einher, Sicherheitserfordernisse zu vernachlässigen, um eng getaktete Release-Zeitpläne einzuhalten.
  2. Nutzen sie die besten verfügbaren Tools, um so schnell wie möglich zuverlässige Ergebnisse zu erzielen. Behalten Sie im Hinterkopf, dass kein Tool alles leistet. Die SAST-Analyse (Static Application Security Testing) ist beispielsweise gut geeignet, um Schwachstellen in proprietärem Code zu finden. Wenn man sich hingegen auf die Suche nach Schwachstellen in den verwendeten Open Source-Komponenten machen will, sind SCA-Tools (Software Composition Analysis) die beste Wahl. Dazu kommen Technologien wie DAST (Dynamic Application Security Testing), IAST (Interactive Application Security Testing) und so weiter, die helfen, sichere und qualitativ hochwertige Software schneller zu erstellen.
  3. Mit all dem sind Sie nicht allein. So wie es Tools gibt, die Risiken in der Entwicklung offenlegen, so gibt es Anbieter, die diese Tools nicht nur verkaufen, sondern die professionelle Dienstleistungen, Analyse, und Schulungen anbieten, wenn die internen Ressourcen fehlen. Gerade, wenn man sich erstmals intensiv mit diesem Thema beschäftigt oder gerade ein Projekt startet, ist es wichtig mit Experten zusammenzuarbeiten. Sei es bei Schulungen oder bei der Implementierung der Lösung selbst. Das trägt nicht unmaßgeblich zum Erfolg des Projekts bei.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Analog zur Entwicklung gibt es auch für die Software-Nutzer auf der anderen Seite drei grundlegende Aspekte zu berücksichtigen.

Mit Benutzern sind übrigens auch solche gemeint, die Open-Source- oder 3rd-Party-Komponenten nutzen:

  1. Patchen, Aktualisieren und Upgraden sind integrale Bestandteile von Sicherheit. Fehlen diese Komponenten, schwächt das die Resilienz von Organisation und Software. Geeignete Praktiken zur Risikominderung sind taugliche Kurzzeitmaßnahmen, um den Zeitraum zwischen der Offenlegung einer Schwachstelle und der Bereitstellung eines Patches zu überbrücken.
  2. Sie sollten genau wissen, was sie verwenden. Viele Organisationen verfügen über Software-Kataloge, welche die verwendete Software nachverfolgen. Diese Verzeichnisse helfen auch, bevorstehende Aktualisierungen im Blick zu behalten oder Sicherheitsrisiken, die es zu beseitigen gilt. Was dabei allerdings gerne vergessen wird, ist zusätzliche Software, die dazu dient, die Funktionalität einer Software zu erweitern. Auch die sogenannten Plugins oder Erweiterungen (z.B. bei Internet-Browsern) sind ein potenzielles Risiko. Schließlich sind sie selbst Software-Pakete. Das heißt, man muss sie entweder in den Katalog der verwendeten Software aufnehmen oder eben verbieten. Dasselbe gilt für Software von Drittanbietern und Open-Source-Komponenten, die bei der Softwareentwicklung verwendet werden. Nur wenn Sie die bei der Entwicklung verwendeten Softwarebestandteile kennen, kennen Sie auch das mit ihnen verbundene Risiko und können es beheben.
  3. Schulen Sie Ihre Mitarbeiter. Machen Sie explizit transparent, warum eine Software verboten ist oder bestimmte Geräte im Firmennetzwerk nicht erlaubt sind. Nur, wer die Bedrohungen versteht, die mit unsicherer Software einhergehen, und weiß, was notwendig ist, um Softwaresicherheit zu gewährleisten, der wird auch Richtlinien befolgen. Dasselbe gilt für die Entwicklung. Wenn Entwickler verstehen, warum genau Sicherheit und an welcher Stelle wichtig ist, werden sie die entsprechenden Tools bereitwilliger einführen und deutlich schneller „Security by Design“ zu ihrer Sache machen“.

Boris

Cipot

Senior Sales Engineer

Black Duck

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.