Sicherheit langfristig denken, erhöht die Reputation

eco fordert Security by Design statt Flickschusterei

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Vor dem Hintergrund der vielen Cyber-Angriffe in diesem Jahr fordert der eco ein Umdenken bei der Softwareentwicklung. Bereits in der Ideenphase müsse Security ein Designkriterium sein.
Experten fordern Security by Design statt ständiges Patchen.
Experten fordern Security by Design statt ständiges Patchen.
Foto: wk1003mike - shutterstock.com

Software die schlecht programmiert, schlecht gewartet oder schlecht konfiguriert ist, führt zu den meisten Cyber-Angriffen - das zeigen Cyber-Bedrohungen wie WannaCry, Locky oder das Mirai-Botnet. "Es lassen sich viele Kosten senken, wenn Hersteller von Software die Sicherheit von Anfang an stärker berücksichtigen, statt ständig neue Patches zur Verfügung zu stellen", sagt Cyber-Security-Experte Felix von Leitner. "Stattdessen haben wir eine resignative Grundhaltung eingenommen: Ein Weltbild, in dem Software halt Sicherheitslöcher hat, und Hacker diese halt ausnutzen."

Dagegen halten können Software-Entwickler mit Security by Design. Mit diesem Konzept lässt sich Software weitestgehend frei von Schwachstellen entwerfen, um sie so unempfindlich gegen Angriffe wie möglich zu machen. "Das gelingt, wenn Entwickler die Sicherheit bereits im Entstehungsprozess einer Software einplanen und von Anfang an mitdenken", sagt Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices im eco - Verband der Internetwirtschaft e. V. "Von der Ideenphase an muss Sicherheit eines der Designkriterien sein. Entwickler sollten sich auch die Frage stellen, ob sich ihre Idee unter Sicherheitsgesichtspunkten überhaupt wie geplant realisieren lässt."

Risiken nicht auf Anwender abwälzen

Sicherheitsaspekte sollten bereits in der Ideenphase ein Kriterium sein.
Sicherheitsaspekte sollten bereits in der Ideenphase ein Kriterium sein.
Foto: Maynedabe - shutterstock.com

In der Realität hingegen werden Sicherheitsaspekte viel zu häufig der kurzfristigen Wirtschaftlichkeit untergeordnet. Das führt dazu, dass im Lebenszyklus einer Anwendung immer neue Lücken gefunden werden, die es dann mittels teurer und aufwendiger Patch-Zyklen zu stopfen gilt. "Wir müssen davon wegkommen, nicht ausgereifte Software auszuliefern", kommentiert Felix von Leitner dieses Verhalten, "Die Risiken trägt zurzeit der Kunde alleine. Einige Hersteller verweigern sogar kritische Sicherheitsupdates, wenn der Kunde keinen Support-Vertrag unterschrieben hat. Das ist die Art von Nährboden, auf der landesweite IT-Verwundbarkeit gedeiht."

Ausgereifte Software erhöht das Renommee

Dabei ist Security by Design unabdingbar für nachhaltigen unternehmerischen Erfolg: Hersteller verbessern ihre Anwendungssicherheit und senken damit die Kosten für die Entwicklung und das Ausspielen von Patches. Wer von Anfang an sichere Software bietet, erhöht auch sein Renommee, denn Sicherheit ist für viele Kunden ein wichtiges Qualitätskriterium.

Security by Design ist eins von fünf Schwerpunktthemen der Internet Security Days 2017 am 28. und 29. September 2017.