computerwoche.de

IT & Business Excellence

Produktsicherheit

100 Prozent sicher geht nicht

12.01.2011
Von Elke Senger-Wiechers
Die Firewall als Schutz vor Angriffen auf die Applikationslandschaft bietet angesichts immer neuer Bedrohungen längst keine ausreichende Sicherheit mehr. Standardisierte Schnittstellen und einheitliche Datenübertragungsprotokolle stellen sowohl an die Softwareentwicklung als auch beim Betrieb neue Anforderungen hinsichtlich der Sicherheit.

Die Trojaner Stuxnet und Duqu demonstrierten eindrucksvoll, was ein modernes Angriffsszenario ausmacht: Die Manipulation ist so gut getarnt und so minimal, dass sie über lange Zeit unbemerkt bleibt - der Schaden kann dabei von Kleinstbeträgen, die monatlich auf ein Konto wandern, bis zur Sabotage kritischer Systeme reichen. "Das war erst die Spitze des Eisbergs", glaubt Sachar Paulus, Senior Analyst beim auf IT-Sicherheit spezialisierten Beratungshaus KuppingerCole. Er geht davon aus, dass Spionage und Sabotage durch das organisierte Verbrechen in Zukunft eine der Hauptbedrohungen für Unternehmen darstellen. Die für die "IT Security"-Studie von IDC befragten 200 Unternehmen halten aktuell jedoch die eigenen Mitarbeiter für das schwächste Glied in der IT-Security-Kette. "Rein von den Möglichkeiten stimme ich zu", kommentiert Paulus.

Über mögliche Missbrauchsfälle nachdenken

Von Fehlbedienungen und falschem Einsatz der Software geht die größte Gefahr aus. Gerade bei ERP-Software treffe es sehr häufig zu, dass eine entwickelte Software eine bestimmte Branche unterstützt. Während des Betriebs ergebe sich dann aber ein anderer industrieller Einsatz. "Schon hat man einen Kontext mit einer Bedrohungssituation, an die bei der Entwicklung nicht gedacht wurde", beschreibt Paulus das Problem. "Für Softwarehersteller ist das sehr schwierig zu antizipieren." Schon in der Planung eines Produktes müssen sie sich daher über mögliche Missbrauchsfälle Gedanken machen und entsprechende Sicherheitsanforderungen formulieren. Rund 200 davon fließen in neue Produkte etwa von SAP ein. Damit die Anforderungen laufend aktuell bleiben, beschäftigt das Walldorfer Softwarehaus ein Expertenteam. "Die Sicherheitsanforderungen bilden die Grundlage für unsere Arbeit in Entwicklung, Validierung, Qualitätssicherung und vielen anderen Bereichen des Unternehmens. So haben wir die Chance, Sicherheitslücken idealerweise von vornherein zu vermeiden oder aber frühzeitig zu entdecken und binnen kürzester Zeit zu schließen", so Gunter Bitz, Leiter Produktsicherheit Governance. Zusätzlich werden noch während der Codierungsphase und am fertigen Produkt mittels laufender, standardisierter Testverfahren mögliche Fehler erkannt und zeitnah korrigiert.

eMagazin SAP AGENDA zum Unternehmen sicher machen als iPad App

Die SAP Agenda - das Trendmagazin der SAP in Zusammenarbeit mit der Computerwoche als kostenlose iPad App. Laden Sie sich die kostenlose iPad App runter.