:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sichere Softwareentwicklung Lässt sich der ROI eines Softwaresicherheitsprogramms beziffern?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Einen Return on Invest (ROI) für Softwaresicherheit zu kalkulieren ist schwierig. Es drängt sich unweigerlich die Frage auf: Wie bemisst man den Wert von etwas, das nicht passiert ist? Wie viele Datenschutzverletzungen hat man tatsächlich vermeiden können? Einige? Viele? Gar keine? Die Antwort darauf ist ungewiss.
Aber Kunden stellen sich Fragen nach dem ROI für Softwaresicherheit ganz konkret, weil sie viel Geld in Automatisierung, Tools, Prozesse und Beratung gesteckt haben. Da ist es nur natürlich zu fragen, was genau ein Unternehmen für seine Zeit und sein monetäres Investment zurückbekommt. Ganz besonders dann, wenn man den betriebswirtschaftlichen Nutzen ermitteln will. Fakt ist, dass 75 % von 1.253 in 2019 überprüften Codebasen mindestens eine Sicherheitslücke enthielten und 49 % ein hohes Sicherheitsrisiko aufwiesen. Das Alter dieser bekannten Schwachstellen lag bei durchschnittlich 4,5 Jahren. In anderen Worten: Die Software wurde innerhalb dieses Zeitraums nicht aktualisiert, obwohl die Schwachstellen bekannt waren.
Den ROI-Ansatz legt man üblicherweise zugrunde, wenn die jeweilige Investition zu Kosteneinsparungen oder Ertragssteigerungen führt. Investitionen in den Bereich der sicheren Softwareentwicklung garantieren im Allgemeinen keine monetären Verbesserungen. Das Ziel ist vielmehr die Schadensprävention und die Risikominimierung in einem weiteren Sinne. Das wirtschaftliche Risiko zu berechnen, unterscheidet sich grundlegend von einem Unternehmen zum anderen, weil zahlreiche Varianten und Parameter eine Rolle spielen. Zum Umfang der Schadensbegrenzung zählen Faktoren wie etwa betriebliche Ausfallzeiten, aufwendige Nacharbeiten und das Beheben von ursächlichen Schwachstellen. Dazu kommen aber auch mögliche Strafen für Verstöße gegen geltendes Recht, die Nutzung geschützter Patente, Umsatzeinbußen durch Kunden- und Imageverlust und so weiter. Die Gesamtsumme und gegebenenfalls weitere Einzelpositionen lassen sich nur grob beziffern, wenn überhaupt. Dazu kommt, dass ein bestimmtes Risiko für das eine Unternehmen deutlich relevanter sein kann als für ein anderes. Das beeinflusst maßgeblich, wie man die einzelnen Faktoren gewichtet und zueinander in Beziehung setzt. Wie viel kostet es beispielsweise, wenn eine hochfrequent genutzte Kunden-Website zu Stoßzeiten aufgrund eines DDoS-Angriffs für einige Stunden nicht zur Verfügung steht? Wie groß ist der Schaden, wenn es Hackern gelingt, Neuentwicklungen vor der Anmeldung zum Patent, Produkt- und Marketingstrategien oder Unternehmens-Know-how auszuspähen und an die Konkurrenz durchzureichen? Wie hoch sind die Verluste, wenn es Angreifern gelingt, auf Kundeninformationen zuzugreifen? Die Liste ließe sich nahezu beliebig verlängern.
Software-Sicherheit – mehr als ein Kostenfaktor
Entscheider betrachten Programme und Investitionen, die für mehr Softwaresicherheit sorgen sollen, vielerorts immer noch ausschließlich als Kostenfaktor. Das drängt Lösungsanbieter in die Rolle von Versicherungsmaklern, die auf potenzielle Gefahren hinweisen, um Policen für den „Ernstfall“ zu verkaufen. Solche Tools sind aber deutlich mehr als ein Kostenfaktor. Sie gewährleisten zum einen, dass eine Software sicherer und qualitativ besser wird, dass sie spezifischen Policy-Anforderungen genügt, und sie optimieren die Prozesse innerhalb des gesamten Software-Lebenszyklus (SDLC). Für einen positiven ROI sollten die begleitenden Sicherheitstests fortlaufend automatisiert werden. Zu Beginn einer Software Security Initiative ermittelt man mithilfe dieser Tools zunächst den Istzustand in der Softwareentwicklung. Stakeholder, die Veränderungen kontinuierlich vorantreiben, nutzen in aller Regel ein intelligentes Berichtswesen und Dashboards. Damit lassen sich Trends schnell erkennen und Verbesserungen gegenüber dem Ausgangszustand messen. Das Berichtswesen ist über den SDLC eng mit den eingesetzten Tools integriert. Dabei spielen eine Reihe von Kennzahlen eine wichtige Rolle: Da sind etwa die Anzahl der False-Positives, die mögliche Verletzung von Compliance-Anforderungen, Art und Umfang der notwendigen Nacharbeiten und die ganzheitliche Nutzung der Tools im Entwicklungsteam. Über einen längeren Zeitraum betrachtet, lassen sich aus diesen Daten weitere Maßnahmen zur Verbesserung ableiten, wie beispielsweise das Automatisierungspotenzial in DevSecOps, die Auswahl zusätzlicher Checker und deren Fine Tuning, das Anpassen von Workflows oder die Identifizierung von weiterem Schulungsbedarf.
Nicht jeder Fehler ist „mission critical“
Eine weitere Maßnahme zielt darauf ab, Testwerkzeuge so zu konfigurieren, dass sie nur die Fehler markieren, die kritisch oder direkt relevant für die zu erstellende Anwendung sind. Einige Tool-Checker finden beim Durchlauf sehr viele Fehler, aber längst nicht alle davon müssen behoben werden. Mit dem Aussortieren der weniger kritischen Defekte lässt sich viel Zeit und Aufwand einsparen und mithilfe der statischen Code-Analyse Fehler und Schwachstellen schon in einem frühen Stadium des Entwicklungsprozesses erkennen und beheben. Einen zusätzlichen positiven Effekt haben Source Code Checks, die bereits sehr früh im Entwicklungsprozess ausgeführt werden. Dazu werden diese Tools direkt in die entsprechende Entwicklerumgebung - IDE (Integrated Development Environment) integriert. Diese Methode unterstützt Entwickler dabei, Sicherheitslücken und Fehler zeitnah zu finden und umgehend zu beheben. Und zwar, ohne dass sie ihre interaktive Entwicklungsumgebung verlassen müssen. Dies passiert nahezu in Echtzeit und senkt somit die Risiken und vermeidet Produktivitätsverluste. Denn die entstehen zwangsläufig, wenn Schwachstellen Tage, Wochen oder sogar Monate unentdeckt bleiben und die betreffenden Entwickler längst mit anderen Aufgaben beschäftigt sind. Die erfolgreiche Einführung von Softwaretest-Tools bringt also eine Reihe von messbaren Vorteilen:
- Gesenkte Durchlauf- und Nachbearbeitungszeiten
- Schnellere Release Cycle
- Größere Termintreue und gegebenenfalls Zeitersparnis
- Geringere Entwicklungskosten
- Optimale Auslastung von Ressourcen in der Entwicklung
- Höherer Grad an Automatisierung
Fazit
Beim Einsatz von Open-Source-Komponenten in der Softwareentwicklung hat sich die Software Composition Analyse bewährt. Ihr Mehrwert liegt vor allem darin, dass der verwendete Open Source Code auf mögliche Schwachstellen und mögliche Lizenzkonflikte bei der weiteren Verwendung untersucht wird. Auch hier trägt eine zeitnahe Erkennung dazu bei, Termine wie geplant zu halten und mögliche Sicherheitslücken von vorneherein zu minimieren. Das übergreifende Ziel ist es immer, Fehler schon möglichst früh in der Wertschöpfungskette zu finden und zu beheben. So vermeidet man aufwendige Nacharbeiten und kann Ressourcen effektiv einsetzen, was wiederum zu mehr Sicherheit, besserer Qualität, höherer Termintreue sowie schnelleren Release-Zyklen führt.
Ein ROI lässt sich nur ungenau abschätzen. Man kann aber sehr wohl annehmen, dass ohne ein Investment in die Softwaresicherheit die Risiken offensichtlich sind. Es vergeht kein Tag ohne schlagzeilenträchtige Berichterstattung über kostspielige und desaströse Hackerangriffe. Vorfälle, bei denen die Angreifer Sicherheitsschwachstellen in einer Software ausnutzen. Sichere und qualitativ hochwertige Software herzustellen und einzusetzen, sollte für jedes Unternehmen höchste Priorität haben. Alle dazu notwendigen Investitionen sollte man ganzheitlich betrachten. Neben der Minimierung von bekannten und unbekannten Risiken ist es mit den entsprechenden Tools zudem möglich, die Effizienz in der Herstellung zu steigern. Dazu müssen Software Security Initiativen zielgerichtet umgesetzt werden. Einige der messbaren Erfolgsfaktoren hinsichtlich eines positiven ROI sind ein schnelleres Feedback, die Fähigkeit, generierte Daten besser zu analysieren, Verbesserungspotenziale mit den richtigen Tools zu erfassen, kritische Fehler zeitnah zu beheben und schrittweise manuelle Aktivitäten in einen sorgfältig definierten, automatisierten Prozess zu transferieren.
Über den Autor: Florian Thurmann ist Technischer Director EMEA bei Synopsys.
(ID:47443082)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930830/original.jpg "Unter dem Shift-Left-Ansatz versteht man das Vorziehen eines Prozessschritts in eine frühere Phase des Prozessablaufs, beim Shift-Left-Testing also zum Beispiel das Testen von Software in einem frühen Entwicklungsstadium. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939337/original.jpg "Die Software-Supply-Chain muss sicherer werden, denn unsichere Geräte erweitern die Angriffsfläche und gefährden die Sicherheit des ganzen Unternehmens. (Eisenhans - stock.adobe.com)")