Im Hintergrund zwei weiße Fahnen am Fahnenmast mit BWI Logo. Im Vordergrund rechts eine Stahl Stehle mit BWI Logo. Eingang zu Liegenschaft fotografiert.© BWI GmbH

Softwareentwicklung: IT-Sicherheit soll in den Fokus rücken

4 min
6. März 2017

Das digitale Zeitalter vernetzt alles mit allem und jeden mit jedem. Damit nehmen auch die potenziellen Angriffspunkte für Hacker zu. Der Ansatz „Security by Design“ soll dabei helfen, IT-Sicherheitsschwachstellen von vorne herein zu vermeiden. Dabei ist er bereits 15 Jahre alt …

Bereits im Trend- und Strategiebericht von 2013 erklärte das Fraunhofer Institut, dass Hacker vor allem Schwachstellen bei Anwendungssoftware ausnutzen. Darunter fallen Betriebssysteme wie Windows oder macOS, aber auch Programme für E-Mails, Bildbearbeitung, Textverarbeitung und Tabellenkalkulation. Apps auf dem Smartphone sind ebenfalls betroffen. Unternehmen und öffentliche Einrichtungen sind dadurch einer ständigen Gefahr ausgesetzt: von Datendiebstah l bis hin zu Online-Betrug. Allein für Windows gab es laut BKA im Jahr 2015 über 400 Millionen Schadprogramme, die bekannte Schwachstellen in Software ausnutzen. Dieser Wert steigt seit Jahren exponentiell an.

Veraltete Entwicklungsprozesse

Bis dato liegt der Grund für die immensen Sicherheitsprobleme nämlich größtenteils in der Entstehung der Software. Und im Gegensatz zur Hardware hat sich daran im Laufe der Zeit nur wenig verändert. Firmen wollen neue IT-Lösungen möglichst schnell auf den Markt bringen. Die begrenzte Entwicklungszeit stecken sie vor allem in Funktionen, zunehmend auch in eine komfortable, ansprechende Bedienung. Doch: „Sicherheit wird im Entwicklungsprozess entweder gar nicht oder nur am Rande betrachtet. Dadurch entstehen zwangsläufig Sicherheitslücken“, schreibt das Fraunhofer Institut in seinem Bericht.

Sogenannte Penetrationstests, die Schwachstellen offenbaren können, erfolgen meistens erst in der letzten Entwicklungsphase. Doch zu diesem Zeitpunkt lassen sich Lücken nur noch mit großem Zeitaufwand und hohen Kosten schließen. Letztere sind dann etwa 30-mal höher als zu Beginn des Prozesses.

Üblicherweise stopfen Entwickler die verwundbaren Stellen im Nachhinein per Patch. Doch bis der veröffentlicht und auf allen Endgeräten installiert ist, haben sich Hacker im Zweifelsfall längst Zugang verschafft.

© iStock/greenphotoKK

IT-Sicherheit wird wichtiger

Schon vor gut 15 Jahren entwarf eine Gruppe von IT-Experten einen Ansatz, der derartige Sicherheitsprobleme lösen sollte: Security by Design. Er hat es nie in die flächendeckende Praxis geschafft – wohl auch, weil der Druck fehlte. Heute jedoch, im vollvernetzten Zeitalter, ist das Thema IT-Security von der Kür zur Pflicht geworden. Auch deshalb entwickeln Experten des Darmstädter European Center for Security and Privacy by Design (EC SPRIDE) das Konzept weiter. Die Grundidee klingt simpel: Sicherheit wird nicht mehr als Ergänzung der Softwareentwicklung betrachtet, sondern als zentrales Element.

So definieren Produktmanager und Programmierer ihre Schutzziele schon im ersten Schritt der Entwicklung. Statt beispielsweise böswillige Zugriffsversuche durch den Anwender als Ausnahmefall zu betrachten, werden sie von vornherein erwartet. Programmierer treffen direkt die entsprechenden Vorsorgemaßnahmen. Ab der Designphase prüfen sie den Programmcode ständig auf bekannte Schwachstellen (Exploits), beseitigen diese und prüfen erneut. Bei der Implementierung der Software wird wieder getestet – und zwar, ob die Anwendung Funktionen enthält, die nicht in der Spezifikation vorgesehen waren. Nachträglich „eingeschmuggelte“ Programmteile, beispielsweise Backdoor-Programme, haben so keine Chance. Außerdem schreibt Security by Design vor, im Zweifelsfall einen Softwarerelease lieber zu verschieben, sofern er noch nicht dem gewünschten Schutzstandard entspricht.

Das klingt nach gutgemeinten, aber naiven Empfehlungen aus dem Elfenbeinturm der Wissenschaft. In der Praxis fehlt IT-Unternehmen oft einfach der Anreiz, Geld und Zeit in die Absicherung ihrer Produkte zu investieren. Künftig könnte sich das ändern. Einerseits steigt das Sicherheitsbewusstsein der Kunden. Zum anderen stellen Experten aus IT, Wirtschaft und Politik im Zuge der digitalen Transformation die Frage neu, wer im „Cyber-Schadensfall“ haftet. Wird dieser Druck zu einem Umdenken bei Softwareanbietern führen?

 

Aufrüstung gegen Cyberattacken dringend notwendig

Über 45.000 Straftaten durch Cyberangriffe hat das BKA allein im Jahr 2014 registriert. Die Zahl der Schadprogramme steigt ebenfalls stark an. Die Beamten warnen, dass „die von Cybercrime ausgehenden Gefahren für den Privat- und Wirtschaftsbereich sowie die Gesellschaft insgesamt weiter zunehmen.“

Auch politische Institutionen sind heute immer wieder Cyberangriffen ausgesetzt. Das zeigen beispielsweise die Hackerangriffe auf die Bundestagsserver im Jahr 2015 und auf die CDU-Zentrale 2016. Auf Länderebene sind Hacker ebenfalls aktiv: In Thüringen wurden im vergangenen Jahr 98.000 Cyberattacken auf Ministerien, den Landtag sowie die Polizei und andere Landesbehörden durchgeführt. Welche politische Sprengkraft gehackte Informationen entfalten können, zeigte nicht zuletzt der Angriff auf die Demokratische Partei und deren Spitzenpolitiker im US-Wahlkampf. Viele Amerikaner ließen sich mutmaßlich von dem Datendiebstahl in ihrer Wahlentscheidung beeinflussen.

Security by Design sollte also von Interesse für Privathaushalte, Wirtschaftsunternehmen und die öffentliche Hand sein. Und zwar jetzt – nicht erst, nachdem größere Schäden entstanden sind.

Das könnte Sie auch interessieren:
 

 
 BWI bereitet sich auf quantensichere Kryptographie vor
Post-Quanten-Kryptografie
2 min
16. April 2024

BWI bereitet sich auf quantensichere Kryptographie vor

#Bundeswehr

#Digitale Verteidigungsfähigkeit

In nicht allzu ferner Zukunft werden die ersten Quantencomputer auf den Markt kommen. Diese bedrohen die Sicherheit heutiger Public-Key-Verfahren, eingesetzt für asymmetrische Verschlüsselung und Signaturen. Im Bereich der Post-Quanten-Kryptographie…
2 min
16. April 2024
 
Schnellere Softwareentwicklung für die Bundeswehr – die „Platform42“ der BWI
Software Defined Defence
3 min
13. Februar 2024

Schnellere Softwareentwicklung für die Bundeswehr – die „Platform42“ der BWI

#Bundeswehr

#Digitale Verteidigungsfähigkeit

Digitalisierung wird für die Fähigkeitsentwicklung der deutschen Streitkräfte immer wichtiger – und immer drängender. Software kommt dabei eine besondere Bedeutung zu, da sich mit ihr Systeme schneller aktualisieren lassen. Eine neue Plattform der…
3 min
13. Februar 2024