Softwareentwicklung: IT-Sicherheit soll in den Fokus rücken

Das digitale Zeitalter vernetzt alles mit allem und jeden mit jedem. Damit nehmen auch die potenziellen Angriffspunkte für Hacker zu. Der Ansatz „Security by Design“ soll dabei helfen, IT-Sicherheitsschwachstellen von vorne herein vermeiden. Dabei ist er bereits 15 Jahre alt …

Bereits im Trend- und Strategiebericht von 2013 erklärte das Fraunhofer Institut, dass Hacker vor allem Schwachstellen bei Anwendungssoftware ausnutzen. Darunter fallen Betriebssysteme wie Windows oder macOS, aber auch Programme für E-Mails, Bildbearbeitung, Textverarbeitung und Tabellenkalkulation. Apps auf dem Smartphone sind ebenfalls betroffen. Unternehmen und öffentliche Einrichtungen sind dadurch einer ständigen Gefahr ausgesetzt: von Datendiebstahl bis hin zu Online-Betrug. Allein für Windows gab es laut BKA im Jahr 2015 über 400 Millionen Schadprogramme, die bekannte Schwachstellen in Software ausnützen. Dieser Wert steigt seit Jahren exponentiell an.

Veraltete Entwicklungsprozesse

Bis dato liegt der Grund für die immensen Sicherheitsprobleme nämlich größtenteils in der Entstehung der Software. Und im Gegensatz zur Hardware hat sich daran im Laufe der Zeit nur wenig verändert. Firmen wollen neue IT-Lösungen möglichst schnell auf den Markt bringen. Die begrenzte Entwicklungszeit stecken sie vor allem in Funktionen, zunehmend auch in eine komfortable, ansprechende Bedienung. Doch: „Sicherheit wird im Entwicklungsprozess entweder gar nicht oder nur am Rande betrachtet. Dadurch entstehen zwangsläufig Sicherheitslücken“, schreibt das Fraunhofer Institut in seinem Bericht.

Sogenannte Penetrationstests, die Schwachstellen offenbaren können, erfolgen meistens erst in der letzten Entwicklungsphase. Doch zu diesem Zeitpunkt lassen sich Lücken nur noch mit großem Zeitaufwand und hohen Kosten schließen. Letztere sind dann etwa 30-mal höher als zu Beginn des Prozesses.

Üblicherweise stopfen Entwickler die verwundbaren Stellen im Nachhinein per Patch. Doch bis der veröffentlicht und auf allen Endgeräten installiert ist, haben sich Hacker im Zweifelsfall längst Zugang verschafft.

Sicherheit wird zum Kernbestandteil der Softwareentwicklung.

IT-Sicherheit wird wichtiger

Schon vor gut 15 Jahren entwarf eine Gruppe von IT-Experten einen Ansatz, der derartige Sicherheitsprobleme lösen sollte: Security by Design. Er hat es nie in die flächendeckende Praxis geschafft – wohl auch, weil der Druck fehlte. Heute jedoch, im vollvernetzten Zeitalter, ist das Thema IT-Security von der Kür zur Pflicht geworden. Auch deshalb entwickeln Experten des Darmstädter European Center for Security and Privacy by Design (EC SPRIDE) das Konzept weiter. Die Grundidee klingt simpel: Sicherheit wird nicht mehr als Ergänzung der Softwareentwicklung betrachtet, sondern als zentrales Element.

So definieren Produktmanager und Programmierer ihre Schutzziele schon im ersten Schritt der Entwicklung. Statt beispielsweise böswillige Zugriffsversuche durch den Anwender als Ausnahmefall zu betrachten, werden sie von vornherein erwartet. Programmierer treffen direkt die entsprechenden Vorsorgemaßnahmen. Ab der Designphase prüfen sie den Programmcode ständig auf bekannte Schwachstellen (Exploits), beseitigen diese und prüfen erneut. Bei der Implementierung der Software wird wieder getestet – und zwar, ob die Anwendung Funktionen enthält, die nicht in der Spezifikation vorgesehen waren. Nachträglich „eingeschmuggelte“ Programmteile, beispielsweise Backdoor-Programme, haben so keine Chance. Außerdem schreibt Security by Design vor, im Zweifelsfall einen Softwarerelease lieber zu verschieben, sofern er noch nicht dem gewünschten Schutzstandard entspricht.

Das klingt nach gutgemeinten, aber naiven Empfehlungen aus dem Elfenbeinturm der Wissenschaft. In der Praxis fehlt IT-Unternehmen oft einfach der Anreiz, Geld und Zeit in die Absicherung ihrer Produkte zu investieren. Künftig könnte sich das ändern. Einerseits steigt das Sicherheitsbewusstsein der Kunden. Zum anderen stellen Experten aus IT, Wirtschaft und Politik im Zuge der digitalen Transformation die Frage neu, wer im „Cyber-Schadensfall“ haftet. Wird dieser Druck zu einem Umdenken bei Softwareanbietern führen?

Aufrüstung gegen Cyberattacken dringend notwendig

Über 45.000 Straftaten durch Cyberangriffe hat das BKA allein im Jahr 2014 registriert. Die Zahl der Schadprogramme steigt ebenfalls stark an. Die Beamten warnen, dass „die von Cybercrime ausgehenden Gefahren für den Privat- und Wirtschaftsbereich sowie die Gesellschaft insgesamt weiter zunehmen.“

Auch politische Institutionen sind heute immer wieder Cyberangriffen ausgesetzt. Das zeigen beispielsweise die Hackerangriffe auf die Bundestagsserver im Jahr 2015 und auf die CDU-Zentrale 2016. Auf Länderebene sind Hacker ebenfalls aktiv: In Thüringen wurden im vergangenen Jahr 98.000 Cyberattacken auf Ministerien, den Landtag sowie die Polizei und andere Landesbehörden durchgeführt. Welche politische Sprengkraft gehackte Informationen entfalten können, zeigte nicht zuletzt der Angriff auf die Demokratische Partei und deren Spitzenpolitiker im US-Wahlkampf. Viele Amerikaner ließen sich mutmaßlich von dem Datendiebstahl in ihrer Wahlentscheidung beeinflussen.

Security by Design sollte also von Interesse für Privathaushalte, Wirtschaftsunternehmen und die öffentliche Hand sein. Und zwar jetzt – nicht erst, nachdem größere Schäden entstanden sind.

Einschätzung

Dr. Bernd Eßer, CISO, BWI

„Security by Design ist ein wichtiges Konzept, das zum einen bewiesen hat, dass es in der realen Welt einsetzbar ist und zum anderen das Sicherheitsniveau von Softwareprodukten signifikant erhöhen kann. Oft geäußerte Vorbehalte bezüglich einer Verlängerung der Entwicklungszeiten und einer Erhöhung der Kosten durch Security by Design beziehen sich häufig auf die Einführungsphase. Im eingeschwungenen Zustand verschwinden diese Zusatzaufwände dann meist, da durch konsequentes Code-Reusal, beispielsweise von Validierungs-Routinen, Aufwände reduziert werden können. Es bleibt aber auch festzuhalten, dass die Einführung von Security by Design im Umfeld agiler Softwareentwicklung mehr Aufwand bedarf als in den klassischen Entwicklungsprozessen.“

– Dr. Bernd Eßer, Chief Information Security Officer, BWI
Titelfoto: (c) iStock/matejmo
Illustation Maschinencode: (c) iStock/greenphotoKK
Foto Bernd Eßer: (c) BWI

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*