Im Rahmen der diesjährigen it-sa hat sich die Kompetenzgruppe Sicherheit in Zusammenarbeit mit dem Mitglied adesso SE über die Anforderungen und Herausforderungen, die sich – nicht nur- bei der Softwareentwicklung, sondern auch im täglichen Einsatz stellen, ausgetauscht.
Zu Anfang veranschaulichten Bernhard Hirschmann und Rico Komenda die aktuelle Bedrohungslage und zeigten einen Anstieg der registrierten Cybercrime- Delikte in Deutschland. Als mögliche Gründe wurden dafür vor allem die voranschreitende Digitalisierung als auch die zunehmende Professionalisierung der Täter aufgeführt. Es zeigt sich, dass 80% aller Angriffe auf der Applikationsebene stattfinden, wodurch der Fokus auf eine sichere Software (-entwicklung) unabdingbar ist. IT-Sicherheits Knowhow soll demnach in allen Prozessen der Softwareentwicklung miteinbezogen werden. Vorteilhaft ist es, eine Kombination aus manueller und automatischer Sicherheitsanalyse durchzuführen beispielsweise in Verbindung mit Pentesting, Thread Modelling und Codeanalysen.
Ediz Turcan ging auf den Ansatz „Hacking for Security“ ein. Dabei sei das oberste Ziel, eine echte Awareness für Sicherheitslücken und Gefahren bei Entwicklern zu erreichen. Klassische Secure Coding Schulungen würden dies durch trockene Inhalte und zu viele Informationen nicht erreichen. Adesso SE verfolgt daher den Ansatz, Wissen und Theorie stärker mit praktischen Übungen wie zum Beispiel Live-Hacking zu vertiefen.
Der Mensch als Unsicherheitsfaktor
Selbst nach einer erfolgreichen Implementierung einer sicheren Software, bleibt noch immer ein Risiko durch den Anwender. Um diese Lücke aufzufangen sind demnach Tests und Simulationen notwendig, um das Unternehmen vor Cybercrime zu schützen. Dabei gibt es verschiedene Möglichkeiten, wie beispielsweise USB-Drop, Whaling, Ransomware und Phishing Simulation, die angewendet werden können. Das hat nicht nur den Vorteil, die Mitarbeiter zu schulen und auf Gefahren aufmerksam zu machen, sondern liefert wichtige Erkenntnisse über die Situation im Unternehmen. Beispielweise kann ermittelt werden, zu welcher Arbeitszeit die Mitarbeiter fahrlässig auf Hackingversuche reagieren, ob sie ihre vertraulichen Daten eingeben und wie viele Meldungen bei der IT-Abteilung eingehen. Florian Weller gibt dabei zu bedenken, dass im Vorfeld einige Vorkehrungen und Absprachen getroffen werden müssen, um eine sichere Durchführung zu gewährleisten. Es sollen dabei vor allem der Zeitraum, die eingeweihten Personen und Ansprechpartner für Mitarbeiter festgelegt werden. Eine anonyme Erfassung und Auswertung sind dabei unabdingbar, damit sich die Mitarbeiter nicht kontrolliert und bloßgestellt fühlen.
Aufbau eines effizienten Sicherheitsmanagements
Um die genannten Möglichkeiten zu implementieren, ist das Verständnis und die Umsetzung von einem effizienten Sicherheitsmanagement notwendig. Gerd Herbertz, Sascha Chladek und Daniel Fomin haben ein Analysesystem vorgestellt, welches kritische Bereiche und Schwachstellen automatisch erfasst und dem User meldet. Durch dieses automatisierte Verfahren können Kosten von Lizenzen, Wartungen und Personal sowie der zeitliche Aufwand reduziert werden. Dabei werden Open Source Komponenten eingesetzt, um Logging und Überwachung der Netzwerkkomponenten sicherzustellen und Vorfälle automatisch zu bewerten/kategorisieren. Menschliche Interaktion ist damit nur noch in Grundzügen notwendig, da ein Großteil der Funktionalität automatisiert abgebildet wird. Schlussendlich sollen damit Prozesse vereinfacht und eine schnelle Reaktion auf Gefahren und Angriffe ermöglicht werden.
Wir bedanken uns bei adesso SE für die interessanten Vorträge und Diskussionen. An diesem Tag wurde insbesondere die Wichtigkeit und Aktualität des Themas „Sichere Software (-entwicklung)“ hervorgehoben, weshalb sich eco auch in Zukunft bei diesem Thema engagieren möchte.
