IT-Sicherheit

Security by Design

Digitales Immunsystem für Technologie & Wirtschaft

von 23.08.2019
Hände bedienen einen Laptop, auf dem programmiert wird; ein Buch zur Programmiersprache Python liegt auf dem Tisch; wichtig ist, Security by Design mitzudenken. Bild: Pexels/Christina Morillo
Schon bei der Software-Entwicklung für Sicherheit zu sorgen ist das Ziel von Security by Design. Bild: Pexels/Christina Morillo

Eine Software zu entwickeln, die von Beginn an durch ein digitales Immunsystems vor Gefahren geschützt ist – das ist die Idee hinter dem Begriff Security by Design. Es gilt, Cyberangriffen von vornherein eine standhafte Barriere entgegenzusetzen.

Wir verraten, was Security by Design genau ist und warum dieser Ansatz für Unternehmen so wichtig ist.

Nichts geht mehr ohne Technik

Die meisten Unternehmen sind in der heutigen digitalen Welt von der Informationstechnologie vollkommen abhängig. Oder gibt es in Ihrem Unternehmen noch irgendwelche Geschäftsprozesse, die ohne den Einsatz von Computer oder Internet auskommen? Wir vermuten: Die Digitalisierung hat wahrscheinlich auch Ihr Unternehmen längst fest in ihren Griff genommen.

Und wie äußert sich das? Der Schriftverkehr läuft fast ausschließlich über E-Mail; Kundendaten sind digital hinterlegt; Rechnungen gehen nur noch in elektronischer Form an den Kunden; Mitarbeiter arbeiten gleichzeitig an Präsentationen, Dokumenten und Tabellen; und in der Industrie sind Maschinen mehr und mehr vernetzt – sowohl untereinander als auch mit wichtigen Analysetools.

Grundlage all dessen sind natürlich die PC-Hardware sowie spezifische Anwendungen und Software-Lösungen. Das Problem: Lange Zeit lag der Fokus insbesondere in der Software-Entwicklung fast ausschließlich darauf, den Anwendern die gewünschten Funktionen bestmöglich liefern zu können. Sicherheitsaspekte wurden dabei vernachlässigt. So zumindest ist es in einem Trend- und Strategiebericht des Fraunhofer-Instituts festgehalten.

Zu sehen ist eine Frau, die am Laptop programmiert; sie denkt an Security by Design. Bild: Pexels/Christina Morillo

Für die Software-Entwicklung ist die Umsetzung von Security by Design entscheidend. Bild: Pexels/Christina Morillo

Sicherheit – in der Software-Entwicklung vernachlässigt

Aber warum? Ganz einfach: Man verließ sich in Sachen Sicherheit auf Firewalls, Malware-Schutz und andere externe Sicherheitsmechanismen. Als Ergebnis, so heißt es in dem Bericht, seien in der Vergangenheit zwangsläufig oft Sicherheitslücken in der Anwendersoftware entstanden. Das wussten Hacker auszunutzen, indem sie sich über diese Sicherheitslücken Zutritt zu Daten und Systemen verschafften. Mittlerweile weiß man jedoch: Sicherheitslücken in Anwendungssoftware stellen ein großes Risiko für Organisationen und Unternehmen dar.

Mit dieser Erkenntnis geht auch das Bewusstsein einher, dass Sicherheit schon bei der Software-Entwicklung zu berücksichtigen ist – und zwar von der ersten Stunde an. Je früher Sicherheitslücken in einer Software erkannt werden, desto leichter und kostengünstiger ist es, sie zu beheben. Das konnten verschiedene Studien belegen. Und mit der Marktreife eines Software-Produkts ist das Ende der Fahnenstange noch nicht erreicht. Vielmehr gilt es, die Software über ihren gesamten Lebenszyklus hinweg systematisch und methodisch zu verbessern.

Für dieses spezifische Vorgehen gibt es natürlich einen passenden Fachbegriff: Security by Design (auch: Security-by-Design). Und genau dieser Begriff gewinnt zunehmend an Bedeutung.

Was ist Security by Design? | Bedeutung

Unter dem Begriff Security by Design versteht man die Berücksichtigung von IT-Sicherheit schon in der Entstehung von Produkten und Lösungen, um sie dadurch so unempfindlich wie möglich gegen Angriffe zu machen. Das gilt für Software- und Hardware-Produkte gleichermaßen.

Der Begriff geht aber über die eigentliche Entwicklungsphase hinaus, denn Security by Design soll den gesamten Lebenszyklus von Hardware- und Software-Produkten abdecken – angefangen bei der ersten Idee bis zum letzten Tag der Nutzung – beziehungsweise dem offiziellen Lebensende oder auch End-of-Support. Im Bereich der Software-Produkte ist dafür der Begriff Software Development Lifecycle (SDLC) etabliert. Microsoft-Produkte sind ein typisches Beispiel dafür, dass Software-Produkte nach einem fest definierten Zeitraum abmoderiert werden.

Auch die Politik betont angesichts zunehmender Gefahren im Cyberraum die Bedeutung von Security by Design. So nimmt der 2022 vorgestellte Entwurf für den Cyber Resilience Act die Hersteller digitaler Produkte in die Pflicht, indem er eine Berücksichtigung der Sicherheit von „Produkten mit digitalen Elementen“ bereits in der Planungs- und Entwicklungsphase und die Überwachung ihrer Sicherheit über den gesamten Lebenszyklus verlangt.

Zu sehen ist eine Büroszene; die genutzte Software wird nach Security by Design entwickelt. Bild: Pexels/fauxels

Durch Security by Design sollen Unternehmen vor Cyberattacken geschützt werden. Bild: Pexels/fauxels

Security by Design in der Software-Entwicklung

Vielleicht fragen Sie sich an dieser Stelle, wie Security by Design in der Software-Entwicklung, genauso wie in der Firmware-Entwicklung für Hardware-Produkte, konkret Anwendung findet. Beispielsweise durch die folgenden Schritte:

  • Ideenfindung und Aufstellung der Anforderungen an Funktion, Leistung und Sicherheit für die neue Software/Firmware; dabei sollte ein Security-Experte unbedingt mit an den Tisch, denn er behält unter anderem Auflagen wie die DSGVO im Blick
  • Festlegen des angemessenen Schutzniveaus des Produkts und des nötigen Sicherheitsaufwands im Rahmen einer Risikoanalyse
  • Einbindung von Testläufen – beispielsweise Penetrationstests –  für jede einzelne Phase der Software-Entwicklung, um potenzielle Schwachstellen frühzeitig aufzudecken
  • Definition möglicher Angriffsarten, denen die Software später ausgesetzt werden könnte
  • Finale Sicherheitsabnahme der Software durch das Sicherheitsteam nach jeder Entwicklungsphase, inklusive praktischer Abnahmetests und manueller Prüfung durch erfahrene Programmierer
  • Review-Prozess für alle Veränderungen des Codes
  • Sicherheitsanalysen von zu integrierenden Software-Komponenten anderer Hersteller unter Zuhilfenahme der Stücklisten
  • Aufrechterhalten des Sicherheitsniveaus auch nach Inbetriebnahme der Software; Patch-Hygiene unter Berücksichtigung immer neuer Bedrohungen

Entstanden ist der Grundsatz „Security by Design“ in der Softwareentwicklung. Man hat aber schnell erkannt, dass er sich auf weitere Bereiche übertragen lässt.

Security by Design und das Internet der Dinge

Mittlerweile steht der Begriff sogar ganzheitlich für das Thema IT-Sicherheit, umfasst also ganze Systemlandschaften, Hardware-Komponenten wie Chips und Prozessoren, Dienste und sogar den Einsatz in der Cloud. Den Security-by-Design-Ansatz in Unternehmen umzusetzen, ist dabei kein leichtes, aber ein durchaus sinnvolles und notwendiges Unterfangen.

Dazu sagt Markus Wagner von TÜV: „Insbesondere im Bereich Internet of Things spielt Security by Design eine wichtige Rolle. Dabei geht es darum, Sicherheitsmechanismen bereits bei der Entwicklung der Geräte zu berücksichtigen. Denn durch die zunehmende Vernetzung von Geräten und Sensoren über das Internet und die Tatsache, dass immer mehr Prozesse über Software laufen, öffnen sich zusätzliche Angriffsflächen für unerwünschte Attacken.“

Gerade in diesem Zusammenhang sorgt der Security-by-Design-Ansatz für eine erheblich bessere Qualität und erhöht den Widerstand der Hardware und Software gegen Angriffe. Wegen der immensen Bedeutung der IT-Sicherheit arbeiten Forschung und Entwickler mit Hochdruck daran, dass der Sicherheitsaspekt in der Software-Entwicklung so konsequent wie möglich umgesetzt wird.

Zwei Frauen arbeiten an einer Software; sie berücksichtigen dabei Security by Design. Bild: Pexels/Christina Morelli

Die Politik will Unternehmen mit der Verpflichtung von Herstellern zu Security by Design schützen. Bild: Pexels/Christina Morillo

IT-Sicherheit ist Existenzgrundlage von Unternehmen

In der vernetzten Welt von heute ist es für Unternehmen ein absolutes Muss, sich vor Angriffen von außen zu schützen. Denn: Software wird in so ziemlich allen Bereichen eingesetzt – auch in jenen, die für den Geschäftserfolg besonders kritisch sind. Fakt ist: Wenn Unternehmen es versäumen, für eine sichere IT-Umgebung zu sorgen, setzen sie unter Umständen ihre komplette Existenz aufs Spiel.

Stellen Sie sich vor, ein Hacker nutzt eine Sicherheitslücke innerhalb einer Software, verschafft sich Zutritt zu Ihrem Firmennetzwerk und greift die Daten Ihrer Kunden ab. Seit Inkrafttreten der DSGVO besteht in einem solchen Fall Meldepflicht. Ein finanzieller Verlust droht nicht nur durch die Zahlung eines Bußgelds, sondern auch durch den Reputationsverlust bei Ihren Kunden.

Noch schlimmer kommt es, wenn Angreifer einen Erpressertrojaner einschleusen und sämtliche Geschäftsdaten verschlüsseln. Haben Sie kein umfassendes Backup, sieht es schlecht für Sie aus: Entweder Sie zahlen das Lösegeld oder verlieren – Beispiel GermanWiper – direkt all Ihre Daten.

Security-by-Design-Ansatz – Vorteile für Unternehmen

Deshalb führt eigentlich kein Weg drum herum: Es gilt, Security by Design als neue Denkweise in Unternehmen einzuführen. Wenn Sicherheitslücken schon in der Entwicklung der in Auftrag gegebenen neuen Software vermieden werden oder wenn anhand der 2023 eingeführten Stücklisten Software vor ihrer Anschaffung genau untersucht und bewertet wird, reduzieren sich logischerweise die späteren Risiken – getreu dem Motto „Vorsorge ist besser als Nachsorge“. Und das hat entscheidende Vorteile für Ihr Unternehmen.

Dafür geben wir Ihnen zwei Beispiele. Einerseits ist die Entwicklung der Software weniger kostenintensiv, denn je später ein Sicherheitsexperte hinzugezogen wird, desto aufwendiger ist es, etwaige Fehler zu beheben. Andererseits sind im späteren Betrieb weniger Sicherheitspatches notwendig, um Sicherheitslücken zu schließen, wodurch sich der Aufwand für Wartungsprozesse verringert.

Und aus Unternehmersicht lässt sich noch ein psychologischer Aspekt hinzufügen: Sie fühlen sich sicherer und haben weniger Ängste gegenüber der Technik. Grundsätzlich gilt aber: Eine hundertprozentige Absicherung ist unmöglich – schließlich entwickeln Angreifer immer wieder neue Methoden.

Hände bedienen einen Laptop; vielleicht handelt es sich um einen Hacker. Bild: Pexels/Sora Shimazaki

Für Hacker sind Sicherheitslücken ein gefundenes Fressen. Bild: Pexels/Sora Shimazaki

Sichere Software-Entwicklung ist ein Muss

Microsoft, Adobe, Apple, EMC, Google, Oracle/Sun und Symantec – sie alle nutzen bereits das Security-by-Design-Prinzip. Bis auch sämtliche kleine und mittelständische Software-Firmen diesen Ansatz vollständig umsetzen, kann es aber durchaus etwas dauern. So mancher Entwickler fühlt sich durch die ständige Einhaltung von Security-Richtlinien nämlich in seiner Kreativität eingeschränkt.

Arne Schönbohm, der frühere Präsident des BSI, hat einmal gesagt (Artikel online nicht mehr verfügbar): „Nur wenn Cyber-Sicherheit schon im Design berücksichtigt wird, können Unternehmen erfolgreich an der Digitalisierung teilhaben und Schaden von Beginn an abwenden.“ Die Vision ist es daher, dass die Software-Entwicklung künftig durch sicherheitsorientierte Tools und eine einheitliche, sichere Programmiersprache unterstützt wird.

Wenn Sie die Entwicklung einer Software in Auftrag geben möchten, sollten Sie sich unbedingt danach informieren, wie es der Entwickler mit Security by Design hält. Ist er auf diesem Gebiet schon gut aufgestellt oder hat er davon etwa noch nie etwas gehört? Sichern Sie sich ab!

IT-Fachleute prüfen Ihre Software!

Sollten Sie eine neue Software benötigen, sind Sie bei den Experten aus dem IT-SERVICE.NETWORK an der richtigen Adresse. Sie beschreiben uns die Anforderungen und Arbeitsprozesse, wir entwickeln eine individuelle und stabile Software-Lösung, die an Ihre IT-Systeme und Geschäftsabläufe angepasst ist.

Sie sind in Sachen Software bereits gut ausgestattet, sind sich aber nicht sicher, ob diese Ansprüchen im Sinne von Security by Design gerecht wird? Dann lassen Sie von uns einen Penetrationstest durchführen. Damit decken wir Schwachstellen innerhalb Ihrer IT-Infrastruktur auf und stellen einen Maßnahmenkatalog auf, mit dem sich die mögliche Sicherheitslücken beheben lassen.

Mit Desktop-ManagementPatch-Management und Backup-Management bieten unsere Profis außerdem ein umfassendes Monitoring für Unternehmensnetzwerke an und erkennen sofort, wenn neue Angriffsmethoden für Ihre IT eine Bedrohung darstellen. Nehmen Sie Kontakt auf und lassen Sie sich beraten!


Weiterführende Informationen:
Fraunhofer, connect, TÜV
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen