Statt Flickschusterei: eco-Verband fordert eingebaute Softwaresicherheit

„Security by Design“ ermöglicht widerstandsfähige Software von Anfang an

[datensicherheit.de, 22.08.2017] In einer aktuellen Stellungnahme betont der eco – Verband der Internetwirtschaft e.V., dass schlecht programmierte, schlecht gewartete bzw. schlecht konfigurierte Software zu den meisten erfolgreichen Cyber-Angriffen führt – das zeigten Cyber-Bedrohungen wie „WannaCry“, „Locky“ oder das „Mirai“-Botnet. Hersteller werden daher aufgerufen, mit „Security by Design“ von Anfang an widerstandsfähige Software anzubieten und damit Kosten zu senken sowie ihr Renommee zu erhöhen.

Sicherheit von Anfang an – statt ständig neue Patches anzubieten!

„Es lassen sich viele Kosten senken, wenn Hersteller von Software die Sicherheit von Anfang an stärker berücksichtigen, statt ständig neue Patches zur Verfügung zu stellen“, betont Cyber-Security-Experte Felix von Leitner. Stattdessen habe man aber eine „resignative Grundhaltung“ eingenommen – ein Weltbild, „in dem Software halt Sicherheitslöcher hat, und Hacker diese halt ausnutzen“, so von Leitner weiter.
Dagegen halten könnten Software-Entwickler mit „Security by Design“. Mit diesem Konzept lasse sich Software weitestgehend frei von Schwachstellen so unempfindlich gegen Angriffe wie möglich entwerfen. „Das gelingt, wenn Entwickler die Sicherheit bereits im Entstehungsprozess einer Software einplanen und von Anfang an mitdenken“, sagt Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices beim eco–Verband. Von der Ideenphase an müsse Sicherheit eines der Designkriterien sein. Entwickler sollten sich auch die Frage stellen, ob sich ihre Idee unter Sicherheitsgesichtspunkten überhaupt wie geplant realisieren lässt, erläutert Schaffrin.

Davon wegkommen, nicht ausgereifte Software auszuliefern!

In der Realität hingegen würden Sicherheitsaspekte viel zu häufig der kurzfristigen Wirtschaftlichkeit untergeordnet. Das führe dazu, dass im Lebenszyklus einer Anwendung immer neue Lücken gefunden würden, die es dann mittels teurer und aufwendiger Patch-Zyklen zu stopfen gelte.
„Wir müssen davon wegkommen, nicht ausgereifte Software auszuliefern. Die Risiken trägt zurzeit der Kunde alleine“, kritisiert von Leitner. Einige Hersteller verweigerten sogar kritische Sicherheitsupdates, wenn der Kunde keinen Support-Vertrag unterschrieben hat. Von Leitner: „Das ist die Art von Nährboden, auf der landesweite IT-Verwundbarkeit gedeiht.“

Ausgereifte Software: Stärkung des Renommees und Kostensenkung

Dabei sei „Security by Design“ unabdingbar für nachhaltigen unternehmerischen Erfolg: Hersteller verbesserten ihre Anwendungssicherheit und senkten damit die Kosten für die Entwicklung und das Ausspielen von Patches. Wer von Anfang an sichere Software bietet, erhöhe auch sein Renommee, denn Sicherheit sei für viele Kunden ein wichtiges Qualitätskriterium.

„Internet Security Days 2017“ am 28. und 29. September 2017

„Security by Design“ ist laut eco eines von fünf Schwerpunktthemen der „Internet Security Days 2017“ am 28. und 29. September 2017: Im „Phantasialand“ in Brühl bei Köln sprechen neben Felix von Leitner zahlreiche Experten zum Thema und geben wertvolle Praxistipps.

Weitere Informationen zum Thema:

eco
Agenda der „Internet Security Days 2017“

datensicherheit.de, 30.03.2016
Internet Security Days 2016 am 22. und 23. September im Phantasialand

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing