:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Statisches vs. dynamisches Security-Training Security-Trainings auch für Entwickler
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Man könnte denken, „Cybersecurity Compliance“ liegt seit Jahren im Trend mit seinen unzähligen Artikeln, Initiativen und Ausschüssen, in denen diskutiert wird, wie die Welt am besten gegen das gewaltige Multi-Bedrohungs-Biest, die Cyberkriminalität vorgehen soll. Speziell bei der Software-Sicherheit haben Unternehmen aber noch viel zu tun.
Weltweit sind die Kosten bei Datenschutzverletzungen stetig gestiegen. Sie stiegen in fünf Jahren um 12 Prozent und beliefen sich 2019 auf rund 3,92 Mio. USD pro Verstoß. Als die Nutzung des Internets in nur wenigen Jahrzehnten enorm anstieg, waren viele Unternehmen einem schutzlosen Kampf ausgesetzt, da Sie schnell Online-Verkaufskanäle aufbauen mussten und sich mit den Folgen unsicherer Software, begrenzter AppSec Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens befassen mussten.
Heute sind wir zweifellos weiter. Wir verstehen und diskutieren ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen eines Cyberangriffs auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis bewusst und viele Unternehmen bemühen sich aktiv um die Verbesserung der Software-Sicherheit durch Compliance-Schulungen, Einstellung von Fachpersonal und mehr und mehr DevSecOps-Initiativen. Trotz dieser großen Sprünge gewinnen wir diesen Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Was fehlte, war zum einen die viel zu langsame Erkenntnis der Cyber-Sicherheitsstandards (auf Regierungsebene), sowie die Erwartungen und Folgen eines Verstoßes. Mit dem Aufkommen der DSGVO hat sich zumindest in Europa einiges getan, aber viele Regierungsstellen holen erst jetzt auf, und die plötzliche Notwendigkeit, sich rasch an neu aufkommende Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Mit blindem Eifer (zum falschen Training)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Staat New York und die Bildung des Cyber Security Council im Vereinigten Königreich waren für diejenigen, die sich für die Sicherheit unserer Daten stark gemacht haben, ein enormer Gewinn. Sie erkennen die Anliegen bei der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen dabei zu unterstützen, die Standards festzulegen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf bewährte Sicherheitsmethoden zu gelten.
Leider sind einige der wichtigsten Elemente momentan ein wenig zu offen für Interpretationen. Ein Mandat des britischen Cyber Security Council lautet beispielsweise: „Eine definierte Liste von Zertifizierungen zu erstellen und den Rahmen zu verstehen, in dem sie miteinander verknüpft sind und welche Fähigkeiten sie vermitteln und dabei auf den bereits durchgeführten Karrierepfaden aufzubauen.“
Die Initiativen der Unternehmen verbessern sich und entwickeln sich zweifellos mit der Zeit weiter, aber wenn Unternehmen bereits in Panik geraten und (wie wild) in Ausbildungen investieren, sind sie möglicherweise nur schlecht für die Zukunft gerüstet.
Die Cyber-Sicherheitsanforderungen eines Unternehmens ändern sich schnell und es ist unwahrscheinlich, dass statische Trainingslösungen den Fluss unsicherer Software in der erforderlichen Geschwindigkeit eindämmen. Die Medienlandschaft ändert sich schneller, als herkömmliche Lehrbuch sie auffangen kann und in manchen Bereichen gerät man schnell in die Falle von „Tick-the-Box“-Übungen. Entwickler und andere Sicherheitsexperten werden nicht ausreichend geschult und dadurch werden sie unfreiwillig zu einem leichten Ziel.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysewerkzeuge sind ein wesentlicher Bestandteil des SDLC und erledigen ihre Aufgabe als Scan-Zugpferde für die wenigen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen anzutreffen sind. Sie leisten gute Arbeit, aber sie haben eine Schwachstelle: Mit einem einzigen Werkzeug kann man nicht nach jeder einzelnen Sicherheitslücke suchen, welches die gesamte Bandbreite an Programmiersprachen abdeckt. Es ist auch ein langsamer Prozess und mit nur einer einzelnen Sicherheitslücke ist die Tür geöffnet für den nächsten Angreifer.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler ihr Sicherheitstraining als starren “einmal-und-erledigt-Kurs” erhalten, ist es sehr unwahrscheinlich, dass sie in dieser Zeit mit den häufig auftretenden Sicherheitsproblemen Schritt halten können. Es dient nur als Momentaufnahme für die Dauer des Kurses. Er wird zu selten wiederholt und wird auch nicht in der von den Teilnehmern bevorzugten Sprache und dem bevorzugten Framework angeboten. Außerdem steht er zu wenig im Kontext zu den Schwachstellen, die ihnen wahrscheinlich in ihrer täglichen Arbeit begegnen. Stellen Sie sich vor, Sie möchten eine relevante Information aus einem Video anwenden, welches Sie vor Monaten gesehen haben und versuchen, während sie ihre Deadline einhalten müssen, den Code zu liefern. Es ist unwahrscheinlich, dass dies gelingt.
Herkömmliche Schulungsmethoden werden in vielen Branchen neu überdacht. Wenn es jedoch um Sicherheitstrainings für Entwickler geht, müssen Sie sich nur die Menge an Datenschutzverletzungen ansehen, mit denen wir es zu tun haben (insbesondere die, die auf bekannte Sicherheitslücken zurückzuführen sind und zu deren Vermeidung wir das jahrzehntelanges Codierungs Know-How, wie SQL Injection besitzen), um zu erkennen, dass wir einen anderen Weg versuchen müssen.
Es braucht Schulungen, die über die Grenzen eines einzigen, linearen Kurses hinausgehen und sich an die sich ständig ändernden Anforderungen für Cybersicherheit anpassen können.
Dynamisches Training: der Premium Standard
Indem man Entwicklern eine dynamische Schulungslösung anbietet, eine, die sich dem Unternehmen, dem individuellen Niveau und den generellen Branchenbewegungen anpassen lässt, bietet man ihnen die beste Grundlage für sicheres Codieren. So ist die Sicherheit immer vor Augen und ermöglicht sicherheitsbewusstes Handeln.
Schulungen, die zu allgemein sind, nie überarbeitet werden und vor allem nicht ansprechend sind, sind völlige Zeitverschwendung. Leider kann dies dazu führen, dass Sie spontan, um der Pflicht willen, Standards einzuhalten, ein ineffektives Programm kaufen. Es könnte veraltet sein, bevor Sie es überhaupt auf den Markt bringen, oder sich kaum auf die Bedürfnisse ihrer täglichen Arbeit beziehen.
Dynamisches Training ist ein lebendiges, atmendes Tool, das ständig aktualisiert wird, dem täglichen Bedarf entspricht. Es regt Benutzer zu kritischem Denken an und befähigt sie, Kompetenzen zu erlernen und Probleme zu beheben.
Wie sieht ein dynamisches Trainingsprogramm im Sicherheitskontext aus?
- Bite-Sized (mundgerecht): Entwickler erlernen Fertigkeiten in überschaubaren Abschnitten, so dass diese leichter zu merken (und vor allem anzuwenden) sind als langwierige Trainingsdecks und Videos.
- Relevant: Was nützt eine allgemeine Sicherheitsschulung, wenn die Beispiele in, sagen wir, C++ vorliegen und der Entwickler hauptsächlich in Java codiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Codieren finden und beheben (und idealerweise von vorn herein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich zu sein, ist es aber häufig nicht. Die Cybersicherheit ändert sich ständig und mit mehr Codierung steigt die Verantwortung. Da Entwickler Ihre erste Verteidigungslinie sind, benötigen sie Schulungen, die auf dem neuesten Stand der Sicherheit sind mit den besten Übungen dafür.
- Ansprechend (Verpflichtend): Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästige Pflicht empfinden, insbesondere wenn diese ihren kreativen Fluss stört. Das richtige Training wird ihnen zeigen, wie viel Macht sie beim Lösen alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, während sie eine Kultur der Verantwortung und des Sicherheitsbewusstseins entwickeln.
- Spaßig: Beim dynamischen Training kommt selten Langeweile auf und mindestens das Design sollte einigermaßen begeistern. Was lieben denn Entwickler? Lösungen für Probleme finden, mit Gleichgesinnten konkurrieren und, wie die meisten von uns Mitarbeitern, Belohnung und Anerkennung. Sie spielen gerne ihre Stärken aus und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Als Software-Ingenieur lebt man in spannenden Zeiten. Software-Ingenieure sind ein integraler Bestandteil in der digitalen Innovation, sie helfen mit, das Unternehmen großartig zu machen und erobern sogar die Welt im Sturm mit ihren eigenen Kreationen. Wo jedoch Regierungsbehörden und große Gesellschaften erkennen, wie bedeutend die Festlegung von Standards für die Software-Sicherheit ist, ist es wichtig, sie mit effektiven, dynamischen Trainingslösungen zu unterstützen, die die Liebe zur sicheren Codierung fördern und nicht mit bürokratischen „Tick-the-Box“-Übungen.
Über den Autor: Pieter Danhieux ist CEO & Co-Founder von Secure Code Warrior.
(ID:46392405)
:quality(80)/p7i.vogel.de/wcms/e7/38/e7387f0ec804df4a1f728f2ec4ce71a2/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/70/917083f9a9b77d4d6d79f7aacaf10f63/0107780511.jpeg "Der Fachkräftemangel hat die Nachfrage nach effektiven Schulungsangeboten in die Höhe schnellen lassen, mit denen sich der Aufbau dringend benötigter Qualifikationen mithilfe passgenauer Inhalte und Formate effektiv umsetzen lässt. (Bild: WrightStudio - stock.adobe.com)")