Mit schlechten Beispielen zu höherer Sicherheit

Kritische Infrastruktur Software

Software ist heute mehr denn je eine kritische Infrastruktur. Ihre Qualität, Sicherheit und Verfügbarkeit sind essentielle und überlebensnotwendige Faktoren für jedes moderne Unternehmen. Um diese Faktoren zu gewährleisten, müssen Softwaresysteme mehr denn je angemessen erstellt, getestet und analysiert werden. Das gilt für die einzelnen Komponenten, wie etwa Softwarebibliotheken, und für das Gesamtsystem im Verbund.

Viele Ansätze sind hier möglich und die meisten auch nötig. Diese beginnen bei angemessenen Strukturen für moderne Entwicklungsteams, die auch hochaktuelle Cybersecurity-Skills integrieren müssen. Kontinuierliches Training und Weiterbildung sind unabdingbar. Neben traditionellen Softwaretests im Entwicklungszyklus sind heute leistungsfähige Werkzeuge zur Code-Analyse in der Lage, beim Test und dem Härten von Softwaresystemen zu unterstützen.

Code-Qualität und "Security by Design" sind nicht weit oben auf der Liste der Anforderungen an Unternehmenssoftware. Dies ist um so mehr im aktuellen Trend der "schneller mehr Funktionalität liefern"-Mentalität der DevOps-Evangelisten der Fall.

Aktuelle Fehlentwicklungen wie die genannten bedrohten Virtualisierungsplattformen und die gefährdete Regierungs-IT, aber auch unsichere SSL-Kommunikation in Webservern und kompromittierbare Funktionen in Router-Firmware belegen jedoch nachdrücklich, dass hier bislang kurzsichtig priorisiert wird.

Die strategische Verankerung von angemessen hohen Sicherheitsanforderungen in jeder Softwarespezifikation ist nicht zuletzt auch eine Managementaufgabe, denn sie erfordert Geld, Zeit und Ressourcen jenseits von "Time to Market". Die genannten Beispiele sollten helfen können, hier die notwendige Bereitschaft zu schaffen.

(bw)