[datensicherheit.de, 22.08.2017] In einer aktuellen Stellungnahme betont der eco – Verband der Internetwirtschaft e.V., dass schlecht programmierte, schlecht gewartete bzw. schlecht konfigurierte Software zu den meisten erfolgreichen Cyber-Angriffen führt – das zeigten Cyber-Bedrohungen wie „WannaCry“, „Locky“ oder das „Mirai“-Botnet. Hersteller werden daher aufgerufen, mit „Security by Design“ von Anfang an widerstandsfähige Software anzubieten und damit Kosten zu senken sowie ihr Renommee zu erhöhen.

Sicherheit von Anfang an – statt ständig neue Patches anzubieten!

„Es lassen sich viele Kosten senken, wenn Hersteller von Software die Sicherheit von Anfang an stärker berücksichtigen, statt ständig neue Patches zur Verfügung zu stellen“, betont Cyber-Security-Experte Felix von Leitner. Stattdessen habe man aber eine „resignative Grundhaltung“ eingenommen – ein Weltbild, „in dem Software halt Sicherheitslöcher hat, und Hacker diese halt ausnutzen“, so von Leitner weiter.
Dagegen halten könnten Software-Entwickler mit „Security by Design“. Mit diesem Konzept lasse sich Software weitestgehend frei von Schwachstellen so unempfindlich gegen Angriffe wie möglich entwerfen. „Das gelingt, wenn Entwickler die Sicherheit bereits im Entstehungsprozess einer Software einplanen und von Anfang an mitdenken“, sagt Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices beim eco–Verband. Von der Ideenphase an müsse Sicherheit eines der Designkriterien sein. Entwickler sollten sich auch die Frage stellen, ob sich ihre Idee unter Sicherheitsgesichtspunkten überhaupt wie geplant realisieren lässt, erläutert Schaffrin.

Davon wegkommen, nicht ausgereifte Software auszuliefern!

In der Realität hingegen würden Sicherheitsaspekte viel zu häufig der kurzfristigen Wirtschaftlichkeit untergeordnet. Das führe dazu, dass im Lebenszyklus einer Anwendung immer neue Lücken gefunden würden, die es dann mittels teurer und aufwendiger Patch-Zyklen zu stopfen gelte.
„Wir müssen davon wegkommen, nicht ausgereifte Software auszuliefern. Die Risiken trägt zurzeit der Kunde alleine“, kritisiert von Leitner. Einige Hersteller verweigerten sogar kritische Sicherheitsupdates, wenn der Kunde keinen Support-Vertrag unterschrieben hat. Von Leitner: „Das ist die Art von Nährboden, auf der landesweite IT-Verwundbarkeit gedeiht.“

Ausgereifte Software: Stärkung des Renommees und Kostensenkung

Dabei sei „Security by Design“ unabdingbar für nachhaltigen unternehmerischen Erfolg: Hersteller verbesserten ihre Anwendungssicherheit und senkten damit die Kosten für die Entwicklung und das Ausspielen von Patches. Wer von Anfang an sichere Software bietet, erhöhe auch sein Renommee, denn Sicherheit sei für viele Kunden ein wichtiges Qualitätskriterium.

„Internet Security Days 2017“ am 28. und 29. September 2017

„Security by Design“ ist laut eco eines von fünf Schwerpunktthemen der „Internet Security Days 2017“ am 28. und 29. September 2017: Im „Phantasialand“ in Brühl bei Köln sprechen neben Felix von Leitner zahlreiche Experten zum Thema und geben wertvolle Praxistipps.

Weitere Informationen zum Thema:

eco
Agenda der „Internet Security Days 2017“

datensicherheit.de, 30.03.2016
Internet Security Days 2016 am 22. und 23. September im Phantasialand

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing

[datensicherheit.de, 27.01.2015] Hessens Staatsminister für Wissenschaft und Kunst, Boris Rhein, hat am Mittwoch, 28.01.2014,  die Darmstädter Cybersicherheitsforschung besucht. Sein besonderes Interesse galt dabei dem im Rahmen der hessischen LOEWE-Initiative geförderten Center for Advanced Security Research Darmstadt (CASED), das gemeinsam von der Technischen Universität Darmstadt, der Hochschule Darmstadt und dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) betrieben wird. Beim Besuch informierte sich Minister Rhein auch über neue Software-Testverfahren. Damit hatten CASED-Forscher erst vor Kurzem einen Banking-Trojaner aufgespürt. Höhepunkt des Besuchs bildete ein Blick ins neu eingerichtete Cyberphysical Security Lab, wo datenschutzfreundliche IT-Systeme für das Auto der Zukunft entwickelt werden.

Die TU Darmstadt und die Hochschule Darmstadt bilden einen Arbeitsschwerpunkt der IT-Sicherheit, was sich aich an der großen Anzhal der beteiligten Professuren ablesen lässt. Zusammen mit dem Fraunhofer SIT arbeiten mehr als 350 Forscherinnen und Forscher am Schutz von digitalen Daten, Diensten, Geräten und Infrastrukturen.

„Mein Ziel ist der gezielte Ausbau des Cyber-Security Forschungsstandorts Darmstadt als national und international sichtbarer Hotspot der IT-Sicherheit. Daher begrüße ich die Pläne, in Darmstadt ein Spitzenforschungszentrum für Cybersicherheit einzurichten, das die Forschungskapazitäten von Technischer Universität, Hochschule Darmstadt und Fraunhofer SIT weiter bündeln soll“, erklärte Wissenschaftsminister Boris Rhein.

„Die IT-Sicherheit gehört zu den national wie international hoch sichtbaren Themenfeldern, die das Forschungsprofil der TU Darmstadt prägen“, betonte TU-Präsident Professor Hans Jürgen Prömel anlässlich des Minister-Besuchs. „Dank der LOEWE-Förderung konnten an der TU Darmstadt substantielle und nachhaltige Strukturen aufgebaut werden, die von Professuren bis zur Gebäudeinfrastruktur reichen. Wir sehen darin eine gute Ausgangslage für die erfolgreiche Weiterentwicklung dieses gesellschaftlich wichtigen Themenfeldes.“

Empfangen wurde der Minister von Spitzenvertretern der drei an CASED beteiligten Forschungsinstitutionen, angeführt durch Professor Dr. Hans Jürgen Prömel, dem Präsidenten der Technischen Universität Darmstadt, und Professorin Dr.-Ing. Mira Mezini, der Vizepräsidentin der Technischen Universität Darmstadt. Professor Dr. Arnd Steinmetz vertrat die Hochschule Darmstadt und Professor Dr. Michael Waidner das Fraunhofer-Institut für Sichere Informationstechnologie.