Das bieten Security-Assessment-Tools

Der Fehler steckt im Quellcode

Sicherheitslücken beginnen in aller Regel damit, dass bei der Softwareentwicklung eine Sicherheitsfunktion vergessen oder ein Programmfehler begangen wurde. Ein Security Assessment auf Basis des Programm-Codes bietet zum Beispiel HP Fortify on Demand, wobei der Nutzer die Tests startet und die Resultate der auswertenden Sicherheitsexperten innerhalb einer definierten Zeitspanne erhält. Veracode bietet eine Reihe von Code-Assessments - darunter die Veracode Static Analysis.

Solche Assessments richten sich an Entwickler und interne Tester und zeigen, an welchen Stellen der Quellcode noch verwundbar ist. Sie können eine wichtige Ergänzung der internen Qualitätssicherung darstellen und den Bedarf an neuen oder geänderten Entwicklungsrichtlinien aufzeigen.

Den Nutzer nicht vergessen

Ein wesentliches Sicherheitsrisiko stellen Nutzer dar, die die Sicherheitsrichtlinien nicht kennen oder nicht umsetzen - ob unwissentlich oder vorsätzlich. Zumindest gegen Ersteres können Tools helfen. Ein entsprechendes Angebot kommt zum Beispiel von SANS: CyberTalent Assessments - Wissenstests, die für Beschäftigte wie für Bewerber und Dienstleister gleichermaßen geeignet sind. Auch das Microsoft Security Assessment Tool bietet einen Fragenbereich, bei dem die Mitarbeiter, ihre Awareness und die für sie geplanten Schulungen im Fokus stehen.