Tipps für die Kooperation von Entwicklern und Sicherheitsverantwortlichen

So klappt’s mit den Security-Kollegen

| Redakteur: Stephan Augsten

An einem Strang ziehen genügt nicht – es muss auch in die gleiche Richtung gehen.
An einem Strang ziehen genügt nicht – es muss auch in die gleiche Richtung gehen. (Bild: VBM-Archiv)

In der IT-Welt vergeht kaum ein Tag, an dem nicht eine neue Sicherheitslücke in Drittanbieter-Software bekannt wird. Aber auch intern entwickelte Anwendungen und Web-Apps können Schwachstellen beinhalten. Coverity zeigt, wie Security-Verantwortliche und Software-Entwickler diese Probleme gemeinsam in den Griff bekommen.

Immer wieder zeigt sich: IT-Sicherheit beginnt nicht erst mit dem Einsatz einer Firewall. Wer sein Unternehmen bzw. dessen Netzwerk und Endgeräte absichern will, benötigt neben wirkungsvollen Security-Anwendungen vor allem auch sichere Software.

Wer selbst Apps für den Unternehmenseinsatz entwirft, muss besonderen Wert auf das Testen der Eigenentwicklungen unter Berücksichtigung verwendeter Drittanbietersoftware legen. Am besten sollte bereits während der Entwicklung getestet werden, um so effizient wie möglich zu wirtschaften und Schwachstellen rechtzeitig zu entfernen.

Die Herausforderung hierbei: IT-Sicherheitsverantwortliche und Softwareentwickler können nicht richtig mit-, aber auch nicht ohneeinander. Hier treffen zwei verschiedene Welten aufeinander. Im Falle von Problemen schieben sie sich gerne gegenseitig die Schuld zu.

Unstrittig sollte sein, dass man durch Zusammenarbeit und angemessene Kommunikation potenzielle Probleme leichter und vor allem schneller beheben kann. In der Bildergalerie zeigt Coverity deshalb die größten Missverständnisse und Stolperfallen im Entwicklungsprozess – und wie sie sich aus dem Weg räumen lassen:

Bildergalerie

Prozesse verstehen: Beteiligen sich einzelne Teams gemeinsam an den Entwicklungsprozessen, können vorhandene Programmierfehler leichter ausgemerzt werden. So empfiehlt es sich, einen entdeckten Bug gleich in die Fehler-Management-App von Entwicklerteams einzutragen. Auf die Art lässt er sich leichter nachverfolgen und beheben. Ungeeignet ist hingegen die Pflege von separaten Listen, die nur bestimmte Fehler aufführen, wie zum Beispiel sicherheitsrelevante Defekte. Die gleiche Sprache sprechen: Entwickler haben oft ein anderes Vokabular. Um auf der gleichen Ebene miteinander zu reden, sollten Begriffe wie „Defects“ oder „Bugs“ genutzt werden statt von „Zero-Day-Attacken“ oder „Sicherheitslücken“ zu sprechen. Probleme und Lösungen gemeinsam anpacken: Ziel jedes Entwicklers ist es, fehlerfreien Code zu programmieren. Der Security-Experte wählt den umgekehrten Ansatz, indem er nach möglichen Exploits sucht. Diese Methode deckt Schwachstellen schonungslos auf. Idealerweise sollten IT-Security-Abteilung und Entwickler im Anschluss gemeinsam erarbeiten, wie sich der Defekt beheben lässt. Ein Beispiel: Das Security-Team entdeckt in einer Webanwendung eine Sicherheitslücke, die Cross-Site-Scripting (XSS) ermöglicht. Um den Kollegen aus der Entwicklung das Leben zu erleichtern, sollten die Sicherheitsprofis den Fehler nicht nur lokalisieren, sondern idealerweise gleich eine Alternativlösung aufzeigen.

Fotostrecke starten: Klicken Sie auf ein Bild (10 Bilder)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42312740 / Hacker und Insider)