Teufelskreis Entwicklung: Warum Software nicht sicher ist

So verwundert es kaum, dass die Zahl sicherheitskritischer Programmfehler weiter zunimmt. Mit der Veröffentlichung von „Zero-Day„-Bugs nehmen von finanziellen Motiven angetriebene Angreifer die Hersteller weiter in den Schwitzkasten. „Während noch diskutiert wird, ob die Veröffentlichung eines sicherheitskritischen Bugs ohne Vorabinformationen des Herstellers und ohne Anstandsfrist vertretbar ist, zwingen einige Cracker die Hersteller in einen Wettlauf mit den Entwicklern von Exploit-Code“, gibt Dirk Fox, Geschäftsführer von Secorvo Security Consulting, zu bedenken.

Auch der deutsche Softwarekonzern SAP hat seine Lektionen gelernt. Immerhin stünden durch unzureichendes Produkt-Engineering die Vermögenswerte der Kunden in Milliardenhöhe auf dem Spiel. „Alle Schwachstellen nur aufzulisten bringt kaum weiter, da es auf eine kontextabhängige Betrachtung ankommt“, sagte Gunter Bitz, Sicherheitsexperte Corporate Security bei SAP auf der diesjährigen RSA Conference. Auch die vom Konzern selbst entwickelte ERP-Software sei keineswegs bugfrei, so die ernüchternde Bilanz. SAP versucht größeren Schäden vorzubeugen, indem es die jeweiligen Kundenanforderungen frühzeitig in die Entwicklung der Funktionalitäten einbezieht.

Standards sind eine Lösung, aber auch das Problem

Einen hundertprozentigen Schutz garantiert aber auch das intensive Zuhören beim Kunden nicht. Hinzu kommt, dass sich IT-Sicherheit und Softwareentwicklung ohnehin konträr statt komplementär verhalten. Die Software muss Funktionen bereitstellen und dabei definierte Sicherheitsziele beachten. „Die Möglichkeiten und der Aufwand zur Umsetzung dieser Sicherheitsziele differieren natürlich durch das konkrete Szenario“ sagt Christoph Meinel. „Entwickle ich einfache Desktop-Software oder aber Webanwendungen, die von Millionen von Anwendern weltweit genutzt werden? Das ist schon ein Unterschied.“

Durch gute Sicherheitsstandards kann man typische Sicherheitsprobleme zwar quasi wegstandardisieren, und je weiter die Standardisierung nach oben voranschreitet, desto mehr Verbesserungen sind theoretisch möglich. Auf der anderen Seite müsste es den Entwicklern viel leichter gemacht werden, diese Standards dann auch richtig anzuwenden.

Und dieses Prinzip der einfachen Handhabung von Security-Funktionalitäten ist immer noch eine weit entfernte Zielscheibe. „Eine Entwicklungsabteilung, die jeden Patch für heterogene Umgebungen testen muss, bevor sie ihn ausrollen kann, hat gegen Tausende vom Ehrgeiz getriebene Cracker keine faire Chance, auch wenn die Hersteller die zur Patchentwicklung benötigte Zeit halbieren könnten“, so Dirk Fox.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

6 Tagen ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

7 Tagen ago

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

7 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome

Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…

1 Woche ago