Der eco-Verband kritisiert, dass schlecht programmiertem gewartete und konfigurierte Software zu den meisten Cyber-Angriffen führt. Er fordert Security by Design ermöglicht widerstandsfähige Software von Anfang an.
Anzeige
Am 28. und 29. September 2017 finden die Internet Security Days 2017 erneut im Phantasialand in Brühl bei Köln statt. Der Tagungsort löst bei mir immer wieder Heiterkeitsanfälle aus, aber einer der Themenschwerpunkte der Agenda befasst sich mit Security by Design. In diesem Rahmen habe ich gerade eine Pressemitteilung des eco Verbands auf den Tisch bekommen.
Security by Design
Cyber-Security-Experte Felix von Leitner, der auf der Tagung spricht, meint zum Thema: „Es lassen sich viele Kosten senken, wenn Hersteller von Software die Sicherheit von Anfang an stärker berücksichtigen, statt ständig neue Patches zur Verfügung zu stellen. Stattdessen haben wir eine resignative Grundhaltung eingenommen: Ein Weltbild, in dem Software halt Sicherheitslöcher hat, und Hacker diese halt ausnutzen." Der Mann hat wohl ziemlich Recht.
Dagegen halten können Software-Entwickler mit Security by Design. Mit diesem Konzept lässt sich Software weitestgehend frei von Schwachstellen so unempfindlich gegen Angriffe wie möglich entwerfen. „Das gelingt, wenn Entwickler die Sicherheit bereits im Entstehungsprozess einer Software einplanen und von Anfang an mitdenken", sagt Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices im eco – Verband der Internetwirtschaft e. V. „Von der Ideenphase an muss Sicherheit eines der Designkriterien sein. Entwickler sollten sich auch die Frage stellen, ob sich ihre Idee unter Sicherheitsgesichtspunkten überhaupt wie geplant realisieren lässt."
Sicherheitsrisiken nicht auf die Kunden abwälzen
Anzeige
In der Realität hingegen werden Sicherheitsaspekte viel zu häufig der kurzfristigen Wirtschaftlichkeit untergeordnet. Das führt dazu, dass im Lebenszyklus einer Anwendung immer neue Lücken gefunden werden, die es dann mittels teurer und aufwendiger Patch-Zyklen zu stopfen gilt. Felix von Leitner sagt: „Wir müssen davon wegkommen, nicht ausgereifte Software auszuliefern. Die Risiken trägt zurzeit der Kunde alleine. Einige Hersteller verweigern sogar kritische Sicherheitsupdates, wenn der Kunde keinen Support-Vertrag unterschrieben hat. Das ist die Art von Nährboden, auf der landesweite IT-Verwundbarkeit gedeiht."
Ausgereifte Software stärkt Renommee und senkt Kosten
Security by Design ist eigentlich unabdingbar für nachhaltigen unternehmerischen Erfolg: Hersteller verbessern ihre Anwendungssicherheit und senken damit die Kosten für die Entwicklung und das Ausspielen von Patches. Wer von Anfang an sichere Software bietet, erhöht auch sein Renommee, denn Sicherheit ist für viele Kunden ein wichtiges Qualitätskriterium.
Security by Design ist eins von fünf Schwerpunktthemen der Internet Security Days 2017 am 28. und 29. September 2017. Im Phantasialand in Brühl bei Köln sprechen neben Felix von Leitner zahlreiche Experten zum Thema und geben wertvolle Praxistipps.
Weitere Informationen zur Agenda der ISD 2017 gibt es hier. So viel zur Tagung – was mir natürlich sofort durch den Kopf schoss: Hoffentlich schickt man von Microsoft ein paar leitende Entwickler da hin. Denn in Sachen Patches (verbunden mit Pleiten, Pech und Pannen) ist man in Redmond ja bei Windows und Office mittlerweile gut dabei.
Anzeige
Phantasiealand klingt irgendwie wie immer passend, Einladung habe ich schon vor einigen Tagen bekommen werde aber nicht anwesend sein da mein Papa momentan jederzeit den Löffel abgeben kann, vielleicht nächstes Jahr wieder.
Security by Design klingt gut, bin ich schon seit Jahre dafür, könnte sich jeder Software Programmierer (Betriebssystem Hersteller übrigens auch) mal ein Scheibchen abschneiden, nicht Jeder der Software Installiert, benutzt hat auch Ahnung wie sicher diese Software tatsächlich ist oder kann das überblicken ob Software Updates auch tatsächlich vom Hersteller stammen.