Statisches vs. dynamisches Security-Training Security-Trainings auch für Entwickler

Von Pieter Danhieux

Anbieter zum Thema

Man könnte denken, „Cybersecurity Compliance“ liegt seit Jahren im Trend mit seinen unzähligen Artikeln, Initiativen und Ausschüssen, in denen diskutiert wird, wie die Welt am besten gegen das gewaltige Multi-Bedrohungs-Biest, die Cyberkriminalität vorgehen soll. Speziell bei der Software-Sicherheit haben Unternehmen aber noch viel zu tun.

Security-Trainings für Entwickler sollen die Liebe zur sicheren Codierung fördern und nicht mit bürokratischen „Tick-the-Box“-Übungen demotivieren.
Security-Trainings für Entwickler sollen die Liebe zur sicheren Codierung fördern und nicht mit bürokratischen „Tick-the-Box“-Übungen demotivieren.
(Bild: gemeinfrei / Pixabay)

Weltweit sind die Kosten bei Datenschutzverletzungen stetig gestiegen. Sie stiegen in fünf Jahren um 12 Prozent und beliefen sich 2019 auf rund 3,92 Mio. USD pro Verstoß. Als die Nutzung des Internets in nur wenigen Jahrzehnten enorm anstieg, waren viele Unternehmen einem schutzlosen Kampf ausgesetzt, da Sie schnell Online-Verkaufskanäle aufbauen mussten und sich mit den Folgen unsicherer Software, begrenzter AppSec Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens befassen mussten.

Heute sind wir zweifellos weiter. Wir verstehen und diskutieren ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen eines Cyberangriffs auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis bewusst und viele Unternehmen bemühen sich aktiv um die Verbesserung der Software-Sicherheit durch Compliance-Schulungen, Einstellung von Fachpersonal und mehr und mehr DevSecOps-Initiativen. Trotz dieser großen Sprünge gewinnen wir diesen Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.

Was fehlte, war zum einen die viel zu langsame Erkenntnis der Cyber-Sicherheitsstandards (auf Regierungsebene), sowie die Erwartungen und Folgen eines Verstoßes. Mit dem Aufkommen der DSGVO hat sich zumindest in Europa einiges getan, aber viele Regierungsstellen holen erst jetzt auf, und die plötzliche Notwendigkeit, sich rasch an neu aufkommende Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.

Mit blindem Eifer (zum falschen Training)

Robuste Richtlinien in Form von NIST, neue Vorschriften für den Staat New York und die Bildung des Cyber Security Council im Vereinigten Königreich waren für diejenigen, die sich für die Sicherheit unserer Daten stark gemacht haben, ein enormer Gewinn. Sie erkennen die Anliegen bei der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen dabei zu unterstützen, die Standards festzulegen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf bewährte Sicherheitsmethoden zu gelten.

Leider sind einige der wichtigsten Elemente momentan ein wenig zu offen für Interpretationen. Ein Mandat des britischen Cyber Security Council lautet beispielsweise: „Eine definierte Liste von Zertifizierungen zu erstellen und den Rahmen zu verstehen, in dem sie miteinander verknüpft sind und welche Fähigkeiten sie vermitteln und dabei auf den bereits durchgeführten Karrierepfaden aufzubauen.“

Die Initiativen der Unternehmen verbessern sich und entwickeln sich zweifellos mit der Zeit weiter, aber wenn Unternehmen bereits in Panik geraten und (wie wild) in Ausbildungen investieren, sind sie möglicherweise nur schlecht für die Zukunft gerüstet.

Die Cyber-Sicherheitsanforderungen eines Unternehmens ändern sich schnell und es ist unwahrscheinlich, dass statische Trainingslösungen den Fluss unsicherer Software in der erforderlichen Geschwindigkeit eindämmen. Die Medienlandschaft ändert sich schneller, als herkömmliche Lehrbuch sie auffangen kann und in manchen Bereichen gerät man schnell in die Falle von „Tick-the-Box“-Übungen. Entwickler und andere Sicherheitsexperten werden nicht ausreichend geschult und dadurch werden sie unfreiwillig zu einem leichten Ziel.

Statisches Training und statische Tools haben die gleichen Probleme

Statische Analysewerkzeuge sind ein wesentlicher Bestandteil des SDLC und erledigen ihre Aufgabe als Scan-Zugpferde für die wenigen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen anzutreffen sind. Sie leisten gute Arbeit, aber sie haben eine Schwachstelle: Mit einem einzigen Werkzeug kann man nicht nach jeder einzelnen Sicherheitslücke suchen, welches die gesamte Bandbreite an Programmiersprachen abdeckt. Es ist auch ein langsamer Prozess und mit nur einer einzelnen Sicherheitslücke ist die Tür geöffnet für den nächsten Angreifer.

Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler ihr Sicherheitstraining als starren “einmal-und-erledigt-Kurs” erhalten, ist es sehr unwahrscheinlich, dass sie in dieser Zeit mit den häufig auftretenden Sicherheitsproblemen Schritt halten können. Es dient nur als Momentaufnahme für die Dauer des Kurses. Er wird zu selten wiederholt und wird auch nicht in der von den Teilnehmern bevorzugten Sprache und dem bevorzugten Framework angeboten. Außerdem steht er zu wenig im Kontext zu den Schwachstellen, die ihnen wahrscheinlich in ihrer täglichen Arbeit begegnen. Stellen Sie sich vor, Sie möchten eine relevante Information aus einem Video anwenden, welches Sie vor Monaten gesehen haben und versuchen, während sie ihre Deadline einhalten müssen, den Code zu liefern. Es ist unwahrscheinlich, dass dies gelingt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Herkömmliche Schulungsmethoden werden in vielen Branchen neu überdacht. Wenn es jedoch um Sicherheitstrainings für Entwickler geht, müssen Sie sich nur die Menge an Datenschutzverletzungen ansehen, mit denen wir es zu tun haben (insbesondere die, die auf bekannte Sicherheitslücken zurückzuführen sind und zu deren Vermeidung wir das jahrzehntelanges Codierungs Know-How, wie SQL Injection besitzen), um zu erkennen, dass wir einen anderen Weg versuchen müssen.

Es braucht Schulungen, die über die Grenzen eines einzigen, linearen Kurses hinausgehen und sich an die sich ständig ändernden Anforderungen für Cybersicherheit anpassen können.

Dynamisches Training: der Premium Standard

Indem man Entwicklern eine dynamische Schulungslösung anbietet, eine, die sich dem Unternehmen, dem individuellen Niveau und den generellen Branchenbewegungen anpassen lässt, bietet man ihnen die beste Grundlage für sicheres Codieren. So ist die Sicherheit immer vor Augen und ermöglicht sicherheitsbewusstes Handeln.

Schulungen, die zu allgemein sind, nie überarbeitet werden und vor allem nicht ansprechend sind, sind völlige Zeitverschwendung. Leider kann dies dazu führen, dass Sie spontan, um der Pflicht willen, Standards einzuhalten, ein ineffektives Programm kaufen. Es könnte veraltet sein, bevor Sie es überhaupt auf den Markt bringen, oder sich kaum auf die Bedürfnisse ihrer täglichen Arbeit beziehen.

Dynamisches Training ist ein lebendiges, atmendes Tool, das ständig aktualisiert wird, dem täglichen Bedarf entspricht. Es regt Benutzer zu kritischem Denken an und befähigt sie, Kompetenzen zu erlernen und Probleme zu beheben.

Wie sieht ein dynamisches Trainingsprogramm im Sicherheitskontext aus?

  • Bite-Sized (mundgerecht): Entwickler erlernen Fertigkeiten in überschaubaren Abschnitten, so dass diese leichter zu merken (und vor allem anzuwenden) sind als langwierige Trainingsdecks und Videos.
  • Relevant: Was nützt eine allgemeine Sicherheitsschulung, wenn die Beispiele in, sagen wir, C++ vorliegen und der Entwickler hauptsächlich in Java codiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Codieren finden und beheben (und idealerweise von vorn herein vermeiden) müssen.
  • Aktuell: Das scheint offensichtlich zu sein, ist es aber häufig nicht. Die Cybersicherheit ändert sich ständig und mit mehr Codierung steigt die Verantwortung. Da Entwickler Ihre erste Verteidigungslinie sind, benötigen sie Schulungen, die auf dem neuesten Stand der Sicherheit sind mit den besten Übungen dafür.
  • Ansprechend (Verpflichtend): Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästige Pflicht empfinden, insbesondere wenn diese ihren kreativen Fluss stört. Das richtige Training wird ihnen zeigen, wie viel Macht sie beim Lösen alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, während sie eine Kultur der Verantwortung und des Sicherheitsbewusstseins entwickeln.
  • Spaßig: Beim dynamischen Training kommt selten Langeweile auf und mindestens das Design sollte einigermaßen begeistern. Was lieben denn Entwickler? Lösungen für Probleme finden, mit Gleichgesinnten konkurrieren und, wie die meisten von uns Mitarbeitern, Belohnung und Anerkennung. Sie spielen gerne ihre Stärken aus und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.

Als Software-Ingenieur lebt man in spannenden Zeiten. Software-Ingenieure sind ein integraler Bestandteil in der digitalen Innovation, sie helfen mit, das Unternehmen großartig zu machen und erobern sogar die Welt im Sturm mit ihren eigenen Kreationen. Wo jedoch Regierungsbehörden und große Gesellschaften erkennen, wie bedeutend die Festlegung von Standards für die Software-Sicherheit ist, ist es wichtig, sie mit effektiven, dynamischen Trainingslösungen zu unterstützen, die die Liebe zur sicheren Codierung fördern und nicht mit bürokratischen „Tick-the-Box“-Übungen.

Über den Autor: Pieter Danhieux ist CEO & Co-Founder von Secure Code Warrior.

(ID:46392405)