Security by Design

Lieber sicher entwickeln als flicken

Simon Hülsbömer
Simon verantwortet auf der Computerwoche redaktionell leitend die Themenbereiche IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er hat aber auch Trends wie Big Data, Analytics und Cloud Computing sowie IT-Projekte in den Fachabteilungen im Blick. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche und ab und an die iPad-Ausgaben der Computerwoche. Aufgaben als Computerwoche-Online-News-Aushelfer, in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Email:
Connect:
Mit jedem neuen IT-Sicherheitsvorfall wächst der Druck auf die Entwickler von Soft- und Hardware. Doch wie ernsthaft verfolgen diese den Grundsatz "Security by Design" tatsächlich?
Das Adobe Secure Software Engineering Team - kurz ASSET - informiert in einem eigenen Blog über Neuigkeiten.
Das Adobe Secure Software Engineering Team - kurz ASSET - informiert in einem eigenen Blog über Neuigkeiten.

"Das kam einer Herztransplantation gleich" - Ulrich Isermeyer, Business Development Manager bei Adobe Systems, beschreibt anschaulich, wie schwierig es war, den Quellcode der Acrobat-Produkte zu "härten". Sein Unternehmen versucht im Rahmen einer hauseigenen "Security-Initiative" - unter anderem mit einem präventiv tätigen "Adobe Secure Software Engineering Team" (ASSET) - seit mehr als drei Jahren, die Entwicklung des Adobe Reader und von Acrobat Professional auf sichere Füße zu stellen. Bald soll auch Flash hinzukommen; die neue Creative Suite 6 ist ebenfalls bereits durch das "Abhärtprogramm" gegangen. Adobes Produkte genießen eine weite Verbreitung und machen ab und an mit Sicherheitslücken von sich reden. Deshalb trage das Unternehmen eine besondere Verantwortung, was die Vermeidung von Schwachstellen angehe, sagt Isermeyer. Um nicht im Nachhinein immer wieder fixen zu müssen, sei das sichere Design und stetiges Testen während der Entwicklungsphase unerlässlich geworden.

"Wir achten nun von Anfang an darauf, dass der Code auf bekannte Exploits hin geprüft und abgesichert ist", beschreibt Isermeyer einen veränderten Entwicklungsprozess. Seit Version 10 laufe der Adobe Reader als "geschützte Version" zudem komplett in einer eigenen Sandbox - jedoch nur, wenn der Anwender dies auch wolle. Weil im "Protected Mode" eine Interaktion mit dem Betriebssystem nicht möglich ist - nötig beispielsweise bei PDF-Dokumenten, die auf externe Medienressourcen auf der Festplatte zugreifen - lässt sich der Modus auch ausschalten. Das Ergebnis der Prozessumstellung lasse sich sehen: "Die Zahl der Patches im Acrobat hat sich drastisch verringert", berichtet Isermeyer.

Mehr als Funktionalität

Über eine veränderte Einstellung der Software-Hersteller berichtet auch Bruce Sams, Geschäftsführer des Beratungshauses Optimabit. "Früher ging es nur um Funktionalität. Später folgten die Penetrationstests - aber erst nach der Fertigstellung einer neuen Software. Heute beginnen die Unternehmen, Sicherheitsaspekte bereits in der Konzeptphase zu berücksichtigen." Entwicklerfirmen sähen zunehmend ein, dass das Einsparpotenzial auf diese Weise größer sei, als wenn im Nachgang ständig geflickt werden müsse, meint Sams. "Ein Teil unserer Kunden achtet durchaus darauf, wie die Software entwickelt wird", berichtet Ansgar Dodt, Regional Vice President beim Datensicherheitsanbieter Safenet, von ersten Erfolgen dieser Strategie. Das sei auch der vermehrten Berichterstattung über Sicherheitsvorfälle geschuldet - oder im schlimmeren Fall negativen Erfahrungen im jeweiligen Unternehmen.

Newsletter 'CP Business-Tipps' bestellen!
 

Christoph Weinmann
Um Security by Design in Unternehmen langfristig etablieren zu können, ist die Weiterbildung der Mitarbeiter, die die Produkt- und Lösungserstellung leisten, unumgänglich. So sollten z. B. Lehrgänge zum Thema Sichere Softwareentwicklung für die Mitarbeiter in Entwicklungsabteilungen zum Standard gehören. Seit 2007 ist es möglich die Mitarbeiterqualifikation über das internationale Personen-Zertifikat CPSSE zu standardisieren.

comments powered by Disqus