So klappt’s mit den Security-Kollegen

Tipps für die Kooperation von Entwicklern und Sicherheitsverantwortlichen So klappt’s mit den Security-Kollegen

17.09.2013Redakteur: Stephan Augsten

In der IT-Welt vergeht kaum ein Tag, an dem nicht eine neue Sicherheitslücke in Drittanbieter-Software bekannt wird. Aber auch intern entwickelte Anwendungen und Web-Apps können Schwachstellen beinhalten. Coverity zeigt, wie Security-Verantwortliche und Software-Entwickler diese Probleme gemeinsam in den Griff bekommen.

Firma zum Thema

Coverity Deutschland

An einem Strang ziehen genügt nicht – es muss auch in die gleiche Richtung gehen.
(Bild: VBM-Archiv)

Immer wieder zeigt sich: IT-Sicherheit beginnt nicht erst mit dem Einsatz einer Firewall. Wer sein Unternehmen bzw. dessen Netzwerk und Endgeräte absichern will, benötigt neben wirkungsvollen Security-Anwendungen vor allem auch sichere Software.

Wer selbst Apps für den Unternehmenseinsatz entwirft, muss besonderen Wert auf das Testen der Eigenentwicklungen unter Berücksichtigung verwendeter Drittanbietersoftware legen. Am besten sollte bereits während der Entwicklung getestet werden, um so effizient wie möglich zu wirtschaften und Schwachstellen rechtzeitig zu entfernen.

Die Herausforderung hierbei: IT-Sicherheitsverantwortliche und Softwareentwickler können nicht richtig mit-, aber auch nicht ohneeinander. Hier treffen zwei verschiedene Welten aufeinander. Im Falle von Problemen schieben sie sich gerne gegenseitig die Schuld zu.

Unstrittig sollte sein, dass man durch Zusammenarbeit und angemessene Kommunikation potenzielle Probleme leichter und vor allem schneller beheben kann. In der Bildergalerie zeigt Coverity deshalb die größten Missverständnisse und Stolperfallen im Entwicklungsprozess – und wie sie sich aus dem Weg räumen lassen:

Bildergalerie

Prozesse verstehen: Beteiligen sich einzelne Teams gemeinsam an den Entwicklungsprozessen, können vorhandene Programmierfehler leichter ausgemerzt werden. So empfiehlt es sich, einen entdeckten Bug gleich in die Fehler-Management-App von Entwicklerteams einzutragen. Auf die Art lässt er sich leichter nachverfolgen und beheben. Ungeeignet ist hingegen die Pflege von separaten Listen, die nur bestimmte Fehler aufführen, wie zum Beispiel sicherheitsrelevante Defekte.

Die gleiche Sprache sprechen: Entwickler haben oft ein anderes Vokabular. Um auf der gleichen Ebene miteinander zu reden, sollten Begriffe wie „Defects“ oder „Bugs“ genutzt werden statt von „Zero-Day-Attacken“ oder „Sicherheitslücken“ zu sprechen.

Probleme und Lösungen gemeinsam anpacken: Ziel jedes Entwicklers ist es, fehlerfreien Code zu programmieren. Der Security-Experte wählt den umgekehrten Ansatz, indem er nach möglichen Exploits sucht. Diese Methode deckt Schwachstellen schonungslos auf. Idealerweise sollten IT-Security-Abteilung und Entwickler im Anschluss gemeinsam erarbeiten, wie sich der Defekt beheben lässt. Ein Beispiel: Das Security-Team entdeckt in einer Webanwendung eine Sicherheitslücke, die Cross-Site-Scripting (XSS) ermöglicht. Um den Kollegen aus der Entwicklung das Leben zu erleichtern, sollten die Sicherheitsprofis den Fehler nicht nur lokalisieren, sondern idealerweise gleich eine Alternativlösung aufzeigen.

IT-Sicherheit ist nicht alles: Sicherheitsmängel genießen bei Softwareentwicklern nicht per se die oberste Priorität. Auch hier kämpft man mit eingeschränkten Ressourcen. Zumal es eng getaktete Release-Zyklen und viele andere Faktoren gibt, bei denen der Bereich IT-Security nur einer von vielen ist.

Bildergalerie mit 10 Bildern

(ID:42312740)