Security by Design

Digitales Immunsystem für Technologie & Wirtschaft

Von in IT-Sicherheit
23
Aug
'19

Eine Software zu entwickeln, die von Beginn an durch ein digitales Immunsystems vor Gefahren geschützt ist – das ist die Idee hinter dem Begriff Security by Design. Es gilt, Cyber-Angriffen von vornherein eine standhafte Barriere entgegenzusetzen.

Wir verraten Ihnen, was Security by Design genau ist und warum die Methode für Unternehmen wichtig ist.

Zu sehen ist ein Monitor mit dem Code einer Software. Ob hier auf Security by Design geachtet wird? Bild: www.unsplash.com / Markus Spiske

Schon bei der Software-Entwicklung für Sicherheit zu sorgen, ist das Ziel von Security by Design. Bild: www.unsplash.com / Markus Spiske

Nichts geht mehr ohne Software

Die meisten Unternehmen sind in der heutigen digitalen Welt von der Informationstechnologie vollkommen abhängig – oder gibt es in Ihrem Unternehmen noch irgendwelche Geschäftsprozesse, die ohne den Einsatz von Computer oder Internet auskommen? Tatsächlich hat die Digitalisierung wahrscheinlich auch Ihr Unternehmen längst fest in ihren Griff genommen.

Der Schriftverkehr läuft fast ausschließlich über E-Mail; Kundendaten sind digital hinterlegt; Rechnungen gehen nur noch in elektronischer Form an den Kunden; Mitarbeiter arbeiten gleichzeitig an Präsentationen, Dokumenten und Tabellen; und in der Industrie sind Maschinen mehr und mehr vernetzt – sowohl untereinander als auch mit wichtigen Analysetools.

Grundlage all dessen sind spezifische Programme und Software-Lösungen. Lange Zeit lag der Fokus in der Software-Entwicklung fast ausschließlich darauf, den Anwendern die gewünschten Funktionen bestmöglich liefern zu können. Sicherheitsaspekte wurden dabei vernachlässigt. So zumindest ist es in einem Trend- und Strategiebericht des Fraunhofer-Instituts festgehalten.

Sicherheit – in der Softwareentwicklung vernachlässigt

Aber warum? Ganz einfach: Man verließ sich in Sachen Sicherheit auf Firewalls, Malware-Schutz und andere externe Sicherheitsmechanismen. Als Ergebnis, so heißt es in dem Bericht, seien in der Vergangenheit zwangsläufig oft Sicherheitslücken in der Anwendersoftware entstanden. Das wussten Hacker auszunutzen, indem sie sich über diese Sicherheitslücken Zutritt zu Daten und Systemen verschafften. Mittlerweile weiß man: Sicherheitslücken in Anwendungssoftware stellen ein großer Risiken für Organisationen und Unternehmen dar.

Das Bewusstsein ist jetzt also da: Die Sicherheit muss schon bei der Software-Entwicklung berücksichtigt werden – und zwar von der ersten Stunde an. Je früher Sicherheitslücken in einer Software erkannt werden, desto leichter und kostengünstiger ist es, sie zu beheben. Das konnten verschiedene Studien belegen. Und mit der Marktreife ist das Ende der Fahnenstange noch nicht erreicht. Vielmehr gilt es, die Software über ihren gesamten Lebenszyklus hinweg systematisch und methodisch zu verbessern.

Für dieses spezifische Vorgehen gibt es natürlich einen passenden Fachbegriff: Security by Design.

Security by Design in der Softwareentwicklung

Die Berücksichtigung von IT-Sicherheit schon in der Entstehung von Produkten und Lösungen, um sie so unempfindlich wie möglich gegen Angriffe zu machen, das ist die Definition von Security by Design. Sie kann aber noch erweitert werden, wie der Fraunhofer-Bericht zeigt. Und zwar heißt es da: „In einem weiter gefassten Sinn kann man unter Security by Design den systematisch organisierten und methodisch ausgestatteten Rahmen verstehen, der im Lebenszyklus von sicherer Software Anwendung findet.“

Es geht demnach, kurz und knapp, um die Verankerung einer sicheren Softwareentwicklung von der ersten Idee bis zum letzten Tag der Nutzung. Dafür steht der Begriff Software Development Lifecycle (SDLC). Darunter fallen beispielsweise die folgenden Schritte:

  • Ideenfindung und Aufstellung der Anforderungen an Funktion, Leistung und Sicherheit für die neue Software; dabei sollte ein Security-Experte unbedingt mit an den Tisch, denn er behält unter anderem Auflagen wie die DSGVO im Blick
  • Festlegen des angemessenen Schutzniveaus des Produkts und des nötigen Sicherheitsaufwands im Rahmen einer Risikoanalyse
  • Einbindung von Testläufen – beispielsweise Penetrationstests –  für jede einzelne Phase im Lebenszyklus der Software, um Schwachstellen aufzudecken
  • Definition möglicher Angriffsarten, denen die Software später ausgesetzt werden könnte
  • Finale Sicherheitsabnahme der Software durch das Sicherheitsteam nach jeder Entwicklungsphase, inklusive praktischer Abnahmetests und manuelle Prüfung durch erfahrene Programmierer
  • Review-Prozess für alle Veränderungen des Codes
  • Sicherheitsanalysen von zu integrierenden Software-Komponenten anderer Hersteller
  • Aufrechterhalten des Sicherheitsniveaus auch nach der Inbetriebnahme der Software; Patch-Hygiene unter Berücksichtigung immer neuer Bedrohungen

Entstanden ist der Grundsatz von „Security by Design“ also in der Softwareentwicklung. Man hat aber schnell erkannt, dass er sich auf weitere Bereiche übertragen lässt.

Zu sehen ist ein Geschäftsmann, dessen Hand auf ein versinnbildlichtes Netzwerk verschiedener Geräte im Internet der Dinge zeigt. Der Security-by-Design-Ansatz wird hier besonders wichtig. Bild: www.pixabay.com / Gerd Altmann

Die zunehmende Vernetzung im Internet der Dinge bedeutet eine größere Zahl von Angriffsstellen. Bild: www.pixabay.com / Gerd Altmann

Security by Design und das Internet der Dinge

Mittlerweile, so heißt es bei Funkschau, steht der Begriff sogar ganzheitlich für das Thema IT-Sicherheit, umfasst also ganze Systemlandschaften, Hardware-Komponenten wie Chips und Prozessoren, Dienste und sogar den Einsatz in der Cloud. Den Security-by-Design-Ansatz in Ihrem Unternehmen umzusetzen, ist kein leichtes, aber ein durchaus sinnvolles und notwendiges Unterfangen.

Dazu sagt Markus Wagner von TÜV: „Insbesondere im Bereich Internet of Things spielt Security by Design eine wichtige Rolle. Dabei geht es darum, Sicherheitsmechanismen bereits bei der Entwicklung der Geräte zu berücksichtigen. Denn durch die zunehmende Vernetzung von Geräten und Sensoren über das Internet und die Tatsache, dass immer mehr Prozesse über Software laufen, öffnen sich zusätzliche Angriffsflächen für unerwünschte Attacken.“

Gerade in diesem Zusammenhang sorgt der Security-by-Design-Ansatz für eine erheblich bessere Qualität und erhöht den Widerstand der Hard- und Software gegen Angriffe. Wegen der immensen Bedeutung der IT-Sicherheit arbeiten Forschung und Entwickler mit Hochdruck daran, dass der Sicherheitsaspekt in der Softwareentwicklung so schnell wie möglich umgesetzt wird.

IT-Sicherheit ist Existenzgrundlage von Unternehmen

In der vernetzten Welt von heute ist es für Unternehmen ein absolutes Muss, sich vor Angriffen von außen zu schützen. Denn: Software wird in so ziemlich allen Bereichen eingesetzt – auch in jenen, die für den Geschäftserfolg besonders kritisch sind. Wenn Sie es versäumen, für eine sichere IT-Umgebung zu sorgen, setzen Sie unter Umständen Ihre komplette Existenz aufs Spiel.

Stellen Sie sich vor, ein Hacker nutzt eine Sicherheitslücke innerhalb einer Software, verschafft sich Zutritt zu Ihrem Firmennetzwerk und greift die Daten Ihrer Kunden ab. Seit Inkrafttreten der DSGVO besteht in einem solchen Fall Meldepflicht. Ein finanzieller Verlust droht nicht nur durch die Zahlung eines Bußgelds, sondern auch durch den Reputationsverlust bei Ihren Kunden.

Noch schlimmer kommt es, wenn Angreifer einen Erpressertrojaner einschleusen und sämtliche Geschäftsdaten verschlüsseln. Haben Sie kein umfassendes Backup, sieht es schlecht für Sie aus: Entweder Sie zahlen Lösegeld oder verlieren – Beispiel GermanWiper – direkt all Ihre Daten.

Security by Design – Vorteile für Unternehmen

Deshalb führt eigentlich kein Weg drum herum: Es gilt Security by Design als neue Denkweise in Unternehmen einzuführen. Wenn Sicherheitslücken schon in der Entwicklung der in Auftrag gegebenen neuen Software vermieden werden, reduzieren sich logischerweise die späteren Risiken – getreu dem Motto Vorsorge ist besser als Nachsorge. Und das hat entscheidende Vorteile für Ihr Unternehmen.

Dafür geben wir Ihnen zwei Beispiele. Einerseits ist die Entwicklung der Software weniger kostenintensiv, denn je später ein Sicherheitsexperte hinzugezogen wird, desto aufwendiger ist es, etwaige Fehler zu beheben. Andererseits sind im späteren Betrieb weniger Sicherheitspatches notwendig, um Sicherheitslücken zu schließen, wodurch sich der Aufwand für Wartungsprozesse verringert.

Und aus Unternehmersicht lässt sich noch ein psychologischer Aspekt hinzufügen: Sie fühlen sich sicherer und haben weniger Ängste gegenüber der Technik. Grundsätzlich gilt aber: Eine hundertprozentige Absicherung ist unmöglich – schließlich entwickeln Angreifer immer wieder neue Methoden.

Zu sehen ist die grafische Darstellung eines Schlosses als Sinnbild für Security by Design. Bild: www.pixabay.com / Pete Linforth

Ohne IT-Sicherheit werden es Unternehmen in Zukunft schwer haben. Bild: www.pixabay.com / Pete Linforth

Security by Design ist ein Muss

Microsoft, Adobe, Apple, EMC, Google, Oracle/Sun und Symantec – sie alle nutzen bereits das Security-by-Design-Prinzip. Bis auch sämtliche kleine und mittelständische Software-Firmen diesen Ansatz vollständig umsetzen, kann es aber ein paar Jahre dauern kann. So mancher Entwickler fühlt sich durch die ständige Einhaltung von Security-Richtlinien nämlich in seiner Kreativität eingeschränkt.

Arne Schönbohm, Präsident des BSI, ist sich aber sicher, dass der Ansatz unumgänglich ist: „Nur wenn Cyber-Sicherheit schon im Design berücksichtigt wird, können Unternehmen erfolgreich an der Digitalisierung teilhaben und Schaden von Beginn an abwenden.“ Die Vision ist es daher, dass die Softwareentwicklung künftig durch sicherheitsorientierte Tools und eine einheitliche, sichere Programmiersprache unterstützt wird.

Wenn Sie die Entwicklung einer Software in Auftrag geben möchten, sollten Sie sich unbedingt danach informieren, wie es der Entwickler mit Security by Design hält. Ist er auf diesem Gebiet schon gut aufgestellt oder hat er davon etwa noch nie etwas gehört? Sichern Sie sich ab!

IT-SERVICE.NETWORK – aber sicher!

Sollten Sie eine neue Software benötigen, sind Sie bei den Experten aus dem IT-SERVICE.NETWORK an der richtigen Adresse. Sie beschreiben uns die Anforderungen und Arbeitsprozesse, wir entwickeln eine individuelle und stabile Software-Lösung, die an Ihre IT-Systeme und Geschäftsabläufe angepasst ist.

Sie sind in Sachen Software bereits gut ausgestattet, sind sich aber nicht sicher, ob diese Ansprüchen im Sinne von Security by Design gerecht wird? Dann lassen Sie von uns einen Penetrationstest durchführen. Damit decken wir Schwachstellen innerhalb Ihrer IT-Infrastruktur auf und stellen einen Maßnahmenkatalog auf, mit dem sich die Sicherheitslücken stopfen lassen.

Mit Desktop-ManagementPatch-Management und Backup bieten unsere Profis außerdem ein umfassendes Monitoring an und erkennen sofort, wenn neue Angriffsmethoden für Ihre IT eine Bedrohung darstellen. Nehmen Sie Kontakt auf und lassen sich beraten!

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.