Wo also setzt das Unternehmen den Hebel strategisch am Besten an, wenn Konzepte und Werkzeuge zur Erstellung sicherer Software prinzipiell bekannt und ausgereift sind, wie Experten immer wieder behaupten? Die Herausforderung liegt in der Umsetzung und durchdachten Anwendung der vorhandenen Technologien. „Müssten die Softwarehersteller Gewährleistungsgarantien bieten, wie in anderen Produktbereichen, wäre viel gewonnen“, so Meinel. Eine Forderung, die auch andere Experten wie der Sicherheitsguru Bruce Schneier gebetsmühlenartig vortragen.
Kein Patentrezept mit Threat Modeling möglich
Auch Garantien aller Beteiligten, inklusive der Internet Service Vendors (ISV), wären gefragt. Aber selbst dann erscheint die technische Gratwanderung kaum lösbar. Die Tücke lauert im Detail. Web Services etwa haben gleichzeitig den Vorteil und den Nachteil, dass sie sehr flexibel sind. Damit machen sie es den Entwicklern aber ziemlich schwer, die Anwendungen sicher aufzusetzen und zu konfigurieren.
Greift man nun auf den immer wieder gerne propagierten Ansatz einer modellzentrierten IT-Sicherheitsarchitektur – „Model-driven Security“ – zurück, so entwirft der Entwickler zwar die gewünschten Sicherheitseigenschaften der betreffenden Web-Services. Er muss es dann aber dem Entwicklungswerkzeug überlassen, diese Eigenschaften auf die Implementierung zu transformieren. Infolgedessen tun zahlreiche Applikationen nicht unbedingt das, was man von ihnen erwartet.
Kurzum: Das Organisationschaos ist vorprogrammiert. Und kleinere Unternehmen können sich sowieso keine aufwändig administrierte IT-Sicherheit leisten. Immerhin kann ein Blick in Best-Practice-Modelle zur Gefahrenmodellierung (Threat Modeling) gerade bei kleineren Betrieben dazu beitragen, die Sicherheitsprogrammierung und -konfigurierung einfach und überschaubar zu halten.
Um aber generell Verbesserungen in einem größeren Maßstab zu erreichen, müssten auch die Defizite in der Ausbildung beseitigt sein. Denn Inhalte wie das sichere Software Engineering sind in Deutschland an den Hochschulen kaum integriert. „Eine praxisnahe ingenieurwissenschaftliche Orientierung der Ausbildung muss stärker gefördert werden“, sagt Christoph Meinel vom Potsdamer HPI. Dort seien die Ziele der Ausbildung und Forschung heute schon auf die umfassende Beherrschung komplexer IT-Systeme ausgerichtet.
Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.
Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt
Das KI-Werkzeug "BAIOSPHERE KI-KOMPASS" soll Unternehmen den Einstieg in KI erleichtern.
Das Wachstum konzentriert sich wie im Vorjahr auf das zweite Halbjahr. Google dominiert bei den…
Sie ermöglichen eine Remotecodeausführung. Angreifbar sind Acrobat DC, 2024 und 2020 sowie Reader DC und…
Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…