Sichere Software ist eine Frage der Denkweise
Dieser Artikel ist älter als ein Jahr!
Eine E-Banking-Anwendung, bei der man massenweise Transaktionsdaten fremder Benutzer auslesen kann. Ein Online-Shop, den ein Angreifer mit einfachen Mitteln komplett unter seine Kontrolle bringen kann. Eine Finanzanwendung, bei der man ohne jegliches Hacker-Tool die Passwörter aller Benutzer beliebig setzen kann. Ein Kunden-Selfservice-Portal, über das man das Servicepersonal dahinter angreifen kann. Mit solchen Dingen hat man in der täglichen Arbeit als IT-Sicherheitstester zu tun.
Die Seite https://haveibeenpwned.com/ vom Australischen Websicherheits-Experten Troy Hunt sammelt Vorfälle, bei denen Details zu Benutzerkonten, oft auch Passwörter, veröffentlicht werden. Die Datenbank beinhaltet bereits über 5,6 Milliarden Benutzerkonten. Aber ist nicht längst bekannt, wie man sichere Software schreibt? Wird Softwareentwicklungsteams nicht die meiste diesbezügliche Arbeit von modernen Technologien abgenommen? Warum hat selbst moderne und neu geschriebene Software solch schwerwiegende Sicherheitsprobleme?
Ein gewichtiger Teil des Problems ist, dass oft versucht wird, Sicherheit erst dann zu integrieren, wenn die Software bereits fertiggestellt ist. Erst dann heuert man einen Sicherheitstester an, der einen Angriff auf die Anwendung simuliert und es oft schafft, Sicherheitsmechanismen mit einfachsten Mitteln zu umgehen. Und erst dann realisiert man, dass man schon in einer sehr frühen Phase der Softwareentwicklung Fehler gemacht hat, deren Behebung jetzt Unmengen an Ressourcen verschluckt.
Der beste Return on invest: Die Schulung am Entwicklungsteam
„Softwaresicherheit ist das Integrieren von Sicherheitsaktivitäten in die Art und Weise, wie wir Software bauen, nicht das Integrieren von Sicherheitsfeatures in den Code.“, tweetete kürzlich auch Gary McGraw, Experte für IT-Sicherheit und Autor zahlreicher Bücher und Publikationen zum Thema sichere Software. Es geht also darum, schon an Sicherheit zu denken, noch bevor wir die erste Zeile Code schreiben, und nicht, die Sicherheit „am Ende draufzustöpseln“. Denn je später ein Fehler gefunden wird, desto teurer wird üblicherweise dessen Behebung.
Und sicheren Code schreiben kann nur jemand, der über Angriffstechniken Bescheid weiß und gelernt hat, wie ein Angreifer zu denken. Softwaresicherheits-Training am Entwicklungsteam hat aus genau diesem Grund einen hohen Return on invest. Gepaart mit der Lust an der Herausforderung kann dies oft einen großen Sprung in der Softwarequalität bedeuten. Ja, Sicherheit ist ein Qualitätsmerkmal!
sec4dev: Konferenz und Bootcamp
Aus genau diesem Grund hat SBA Research, ein Wiener Forschungszentrum für IT-Sicherheit, die sec4dev für Softwareentwickler geschaffen: Von 25. bis 27. Februar 2019 verwandelt sich der Campus Gußhaus der TU Wien in einen Hotspot für regen Austausch und Weiterbildung rund um das Thema sichere Softwareentwicklung. Die sec4dev-Konferenz bietet praxisorientierte Vorträge, Workshops und ganztägige Bootcamps zu den Bereichen sicheres Coding, sicherer Betrieb, Security-Testing und vieles mehr. Die Teilnehmer können dabei direkt auf das Wissen und die Erfahrung von Sicherheiten, Softwareentwicklern und Softwarearchitekten zugreifen.
Über den Autor
Thomas Konrad arbeitet seit über acht Jahren im Software-Security-Team bei SBA Research in Wien. Dort beschäftigt er sich mit Themen wie sichere Softwareentwicklung, Webapplikationssicherheit, Penetration-Testing, sicherer Softwareentwicklungsprozess, sicheres Softwaredesign, Softwarearchitektur, Schulungen und Trainings in diesen Bereichen. Er hat über acht Jahre Erfahrung als IT-Sicherheitsberater, Trainer und Softwareentwickler.
Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezone und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.
Kommentare