:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Statisches vs. dynamisches Security-Training Security-Trainings auch für Entwickler
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Man könnte denken, „Cybersecurity Compliance“ liegt seit Jahren im Trend mit seinen unzähligen Artikeln, Initiativen und Ausschüssen, in denen diskutiert wird, wie die Welt am besten gegen das gewaltige Multi-Bedrohungs-Biest, die Cyberkriminalität vorgehen soll. Speziell bei der Software-Sicherheit haben Unternehmen aber noch viel zu tun.
Weltweit sind die Kosten bei Datenschutzverletzungen stetig gestiegen. Sie stiegen in fünf Jahren um 12 Prozent und beliefen sich 2019 auf rund 3,92 Mio. USD pro Verstoß. Als die Nutzung des Internets in nur wenigen Jahrzehnten enorm anstieg, waren viele Unternehmen einem schutzlosen Kampf ausgesetzt, da Sie schnell Online-Verkaufskanäle aufbauen mussten und sich mit den Folgen unsicherer Software, begrenzter AppSec Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens befassen mussten.
Heute sind wir zweifellos weiter. Wir verstehen und diskutieren ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen eines Cyberangriffs auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis bewusst und viele Unternehmen bemühen sich aktiv um die Verbesserung der Software-Sicherheit durch Compliance-Schulungen, Einstellung von Fachpersonal und mehr und mehr DevSecOps-Initiativen. Trotz dieser großen Sprünge gewinnen wir diesen Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Was fehlte, war zum einen die viel zu langsame Erkenntnis der Cyber-Sicherheitsstandards (auf Regierungsebene), sowie die Erwartungen und Folgen eines Verstoßes. Mit dem Aufkommen der DSGVO hat sich zumindest in Europa einiges getan, aber viele Regierungsstellen holen erst jetzt auf, und die plötzliche Notwendigkeit, sich rasch an neu aufkommende Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Mit blindem Eifer (zum falschen Training)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Staat New York und die Bildung des Cyber Security Council im Vereinigten Königreich waren für diejenigen, die sich für die Sicherheit unserer Daten stark gemacht haben, ein enormer Gewinn. Sie erkennen die Anliegen bei der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen dabei zu unterstützen, die Standards festzulegen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf bewährte Sicherheitsmethoden zu gelten.
Leider sind einige der wichtigsten Elemente momentan ein wenig zu offen für Interpretationen. Ein Mandat des britischen Cyber Security Council lautet beispielsweise: „Eine definierte Liste von Zertifizierungen zu erstellen und den Rahmen zu verstehen, in dem sie miteinander verknüpft sind und welche Fähigkeiten sie vermitteln und dabei auf den bereits durchgeführten Karrierepfaden aufzubauen.“
Die Initiativen der Unternehmen verbessern sich und entwickeln sich zweifellos mit der Zeit weiter, aber wenn Unternehmen bereits in Panik geraten und (wie wild) in Ausbildungen investieren, sind sie möglicherweise nur schlecht für die Zukunft gerüstet.
Die Cyber-Sicherheitsanforderungen eines Unternehmens ändern sich schnell und es ist unwahrscheinlich, dass statische Trainingslösungen den Fluss unsicherer Software in der erforderlichen Geschwindigkeit eindämmen. Die Medienlandschaft ändert sich schneller, als herkömmliche Lehrbuch sie auffangen kann und in manchen Bereichen gerät man schnell in die Falle von „Tick-the-Box“-Übungen. Entwickler und andere Sicherheitsexperten werden nicht ausreichend geschult und dadurch werden sie unfreiwillig zu einem leichten Ziel.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysewerkzeuge sind ein wesentlicher Bestandteil des SDLC und erledigen ihre Aufgabe als Scan-Zugpferde für die wenigen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen anzutreffen sind. Sie leisten gute Arbeit, aber sie haben eine Schwachstelle: Mit einem einzigen Werkzeug kann man nicht nach jeder einzelnen Sicherheitslücke suchen, welches die gesamte Bandbreite an Programmiersprachen abdeckt. Es ist auch ein langsamer Prozess und mit nur einer einzelnen Sicherheitslücke ist die Tür geöffnet für den nächsten Angreifer.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler ihr Sicherheitstraining als starren “einmal-und-erledigt-Kurs” erhalten, ist es sehr unwahrscheinlich, dass sie in dieser Zeit mit den häufig auftretenden Sicherheitsproblemen Schritt halten können. Es dient nur als Momentaufnahme für die Dauer des Kurses. Er wird zu selten wiederholt und wird auch nicht in der von den Teilnehmern bevorzugten Sprache und dem bevorzugten Framework angeboten. Außerdem steht er zu wenig im Kontext zu den Schwachstellen, die ihnen wahrscheinlich in ihrer täglichen Arbeit begegnen. Stellen Sie sich vor, Sie möchten eine relevante Information aus einem Video anwenden, welches Sie vor Monaten gesehen haben und versuchen, während sie ihre Deadline einhalten müssen, den Code zu liefern. Es ist unwahrscheinlich, dass dies gelingt.
Herkömmliche Schulungsmethoden werden in vielen Branchen neu überdacht. Wenn es jedoch um Sicherheitstrainings für Entwickler geht, müssen Sie sich nur die Menge an Datenschutzverletzungen ansehen, mit denen wir es zu tun haben (insbesondere die, die auf bekannte Sicherheitslücken zurückzuführen sind und zu deren Vermeidung wir das jahrzehntelanges Codierungs Know-How, wie SQL Injection besitzen), um zu erkennen, dass wir einen anderen Weg versuchen müssen.
Es braucht Schulungen, die über die Grenzen eines einzigen, linearen Kurses hinausgehen und sich an die sich ständig ändernden Anforderungen für Cybersicherheit anpassen können.
Dynamisches Training: der Premium Standard
Indem man Entwicklern eine dynamische Schulungslösung anbietet, eine, die sich dem Unternehmen, dem individuellen Niveau und den generellen Branchenbewegungen anpassen lässt, bietet man ihnen die beste Grundlage für sicheres Codieren. So ist die Sicherheit immer vor Augen und ermöglicht sicherheitsbewusstes Handeln.
Schulungen, die zu allgemein sind, nie überarbeitet werden und vor allem nicht ansprechend sind, sind völlige Zeitverschwendung. Leider kann dies dazu führen, dass Sie spontan, um der Pflicht willen, Standards einzuhalten, ein ineffektives Programm kaufen. Es könnte veraltet sein, bevor Sie es überhaupt auf den Markt bringen, oder sich kaum auf die Bedürfnisse ihrer täglichen Arbeit beziehen.
Dynamisches Training ist ein lebendiges, atmendes Tool, das ständig aktualisiert wird, dem täglichen Bedarf entspricht. Es regt Benutzer zu kritischem Denken an und befähigt sie, Kompetenzen zu erlernen und Probleme zu beheben.
Wie sieht ein dynamisches Trainingsprogramm im Sicherheitskontext aus?
- Bite-Sized (mundgerecht): Entwickler erlernen Fertigkeiten in überschaubaren Abschnitten, so dass diese leichter zu merken (und vor allem anzuwenden) sind als langwierige Trainingsdecks und Videos.
- Relevant: Was nützt eine allgemeine Sicherheitsschulung, wenn die Beispiele in, sagen wir, C++ vorliegen und der Entwickler hauptsächlich in Java codiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Codieren finden und beheben (und idealerweise von vorn herein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich zu sein, ist es aber häufig nicht. Die Cybersicherheit ändert sich ständig und mit mehr Codierung steigt die Verantwortung. Da Entwickler Ihre erste Verteidigungslinie sind, benötigen sie Schulungen, die auf dem neuesten Stand der Sicherheit sind mit den besten Übungen dafür.
- Ansprechend (Verpflichtend): Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästige Pflicht empfinden, insbesondere wenn diese ihren kreativen Fluss stört. Das richtige Training wird ihnen zeigen, wie viel Macht sie beim Lösen alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, während sie eine Kultur der Verantwortung und des Sicherheitsbewusstseins entwickeln.
- Spaßig: Beim dynamischen Training kommt selten Langeweile auf und mindestens das Design sollte einigermaßen begeistern. Was lieben denn Entwickler? Lösungen für Probleme finden, mit Gleichgesinnten konkurrieren und, wie die meisten von uns Mitarbeitern, Belohnung und Anerkennung. Sie spielen gerne ihre Stärken aus und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Als Software-Ingenieur lebt man in spannenden Zeiten. Software-Ingenieure sind ein integraler Bestandteil in der digitalen Innovation, sie helfen mit, das Unternehmen großartig zu machen und erobern sogar die Welt im Sturm mit ihren eigenen Kreationen. Wo jedoch Regierungsbehörden und große Gesellschaften erkennen, wie bedeutend die Festlegung von Standards für die Software-Sicherheit ist, ist es wichtig, sie mit effektiven, dynamischen Trainingslösungen zu unterstützen, die die Liebe zur sicheren Codierung fördern und nicht mit bürokratischen „Tick-the-Box“-Übungen.
Über den Autor: Pieter Danhieux ist CEO & Co-Founder von Secure Code Warrior.
(ID:46392405)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913852/original.jpg "Laut TÜV Süd wird der Markt von Ransomware as a Service weiter wachsen und Unternehmen müssen ihre Systeme besser vor Verschlüsselung schützen. (TÜV Süd)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927800/1927818/original.jpg "Das Scan-Tool „Trend Micro Portable Security 3 Pro“ passt sich flexibel in die täglichen Sicherheitsroutinen kritischer Unternehmens-IT-Infrastrukturen ein und hilft industrielle Kontrollsysteme (ICS) abzusichern. (ipopba - stock.adobe.com)")