Blog

Software Security - 4 Trends, die bei CIOs ganz oben auf der Agenda stehen

Posted on 15. November 2017 10:53:00 MEZ

computer-1591018_1920.jpg

Das Thema Software Security steht zunehmend auf der Agenda der IT-Entscheider. Bei der Softwareentwicklung und anschließendem Betrieb sollte die Sicherheit eine zentrale Rolle spielen, um mögliche Sicherheitslücken zu schließen und Angriffen vorzubeugen.

 

Grundsätzlich umfasst Software Security die Idee, Software auf eine sichere Art und Weise zu entwickeln, um im produktiven Betrieb gegen Cyber-Angriffe geschützt zu sein. Durch geeignete Sicherheitsmaßnahmen soll die Integrität, Authentizität sowie Verfügbarkeit verbessert werden.

 

CIOs müssen dabei präventiv gegen Sicherheitslücken vorgehen: Durch frühzeitige Analysen, die Verwendung von Sicherheitstools, sowie der Optimierung von Prozessen und Entwicklungsmethoden, können Gefahren rechtzeitig erkannt und behoben werden.

 

Die folgenden vier Software Security Trends sind bei der Entwicklung und dem Betrieb von sicheren Applikationen besonders zu empfehlen:

 

1. Trend: DevOps für sichere Software und frühe Maßnahmen

Das Thema DevOps gehört zu den wichtigsten Bereichen, wenn es um die Sicherheit von Applikationen geht. Hierbei handelt es sich um einen Ansatz zur Prozessverbesserung, der sich aus den beiden Bereichen der Softwareadministration und Softwareentwicklung entwickelt hat. Das Ziel von DevOps ist die bessere Zusammenarbeit zwischen Entwicklern, Betreibern der Software sowie der Qualitätssicherung.

Ein Trend in diesem Zusammenhang ist die immer frühere Einbindung von Sicherheitsmaßnahmen in der Entwicklungsphase, damit die Software auf diese Weise ein starkes Fundament erhält und im Ergebnis sicherer funktioniert.

Außerdem werden Security Tools, welche maßgeblich für die sichere Entwicklung von Software sind, benutzerfreundlicher gestaltet, damit Entwickler, auch ohne Sicherheitsprofis zu sein, die Informationen aus derartigen Tools richtig und effizient verarbeiten können.

 

2. Trend: Zusammenarbeit zwischen DevOps- und Security-Teams

Eine effektive Zusammenarbeit zwischen DevOps- und Security-Teams ist eine wichtige Grundlage für die Entwicklung sicherer Software. Während DevOps-Teams eher daran interessiert sind, neue Funktionen so schnell wie möglich auszuliefern, setzen Security-Teams den Fokus auf die Auslieferung der Software ohne Sicherheitslücken, unabhängig davon, wie lange die Behebung derartiger Defizite dauert. Ein Training der Teams kann dabei helfen, diesen Ziel- und Interessenkonflikt zu lösen, so dass die Software-Sicherheit gewährleistet werden kann, ohne dabei die Fähigkeit zur schnellen Innovation zu reduzieren.

Unternehmen investieren zunehmend in solche internen Security Trainings, um die Teams besser auszubilden und aufeinander abzustimmen. In 2016 stieg der Aufwand für Security-Trainingsmaßnahmen stark an. Der Trend zu mehr Sicherheitstraining wird auch in den nächsten Jahren weiter anhalten.

 

3. Trend: Container und Docker

Eine weitere Entwicklung im Rahmen sicherer Software ist die Nutzung von sogenannten Containern. Ein Software Container ist ein lauffähiges, virtuelles Betriebssystem mit geringen Systemanforderungen. Container können die Software nach Belieben skalieren, ohne etwaigen Einschränkungen einer virtuellen Maschine oder eines physischen Computers zu unterliegen. Hierdurch wird eine flexiblere und agilere Softwareentwicklung ermöglicht.

In diesem Zusammenhang wird auch häufig über “Docker” gesprochen. Docker ist eine Open-Source-Software, die die Bereitstellung von Anwendungen vereinfacht, indem sich Container, die alle benötigen Softwarepakete fertig konfiguriert enthalten, leicht als Dateien transportieren und installieren lassen. Auf den Zielsystemen teilen sich die Container über die Docker Software auf sehr effiziente Art das Betriebssystem und die Infrastruktur.

Container bieten im Hinblick auf die Sicherheit von Software verschiedene Vorteile. Am meisten Gewicht hat hier sicher die Möglichkeit, Installation und Konfiguration der Software in dem Container zu kapseln und auf dem Zielsystem damit automatisch zu übernehmen. Ein in Hinblick auf Sicherheitsrisiken optimiertes und geprüftes System lässt sich damit beliebig transportieren – ohne die Notwendigkeit zur erneuten Installation und Konfiguration und die damit verbundene Möglichkeit von Fehlern hinnehmen zu müssen.

In der Kapselung von Anwendungen in einer in sich geschlossenen Einheit liegt noch ein weiterer Vorteil von Containern verborgen. Durch die Isolierung einzelner Anwendungen sinkt das Risiko, dass sich erfolgreiche Angriffe einfach auf andere Anwendungen übertragen lassen. Da die Container im Gegensatz zu früheren Virtualisierungstechnologien das Betriebssystem selbst nicht beinhalten, ist die Reichweite der Angriffe automatisch begrenzt.

 

4. Trend: Zero-Day-Lücken frühzeitig erkennen und schließen

Die Vorbeugung von Zero-Day-Lücken gehört ebenfalls zu den aktuellen Entwicklungen, die das Thema Software Security prägen. Bei einer Zero-Day-Lücke handelt es sich um eine Lücke in der Software, die schon kurze Zeit nach deren Auffinden für Angriffe genutzt wird (Zero-Day-Exploit). Auslöser einer Zero-Day-Lücke ist häufig fehleranfälliger Code.

Cyber-Angriffe können heutzutage zwar in vielen Fällen durch Sicherheitstools (z.B. Firewalls, Anti-Maleware) abgefangen werden, allerdings versuchen immer mehr Angreifer Schwachstellen in den Teilen einer Software auszunutzen, die aufgrund des Anwendungszwecks öffentlich zugänglich sein müssen. Daher ist es umso wichtiger, in einer frühen Phase der Softwareentwicklung Sicherheitsmaßnahmen anzuwenden, um Fehlermuster, die etwaige Lücken in diesen Teilen zur Folge haben, früh zu erkennen und zu beheben.

Den angesprochenen Zero-Day-Exploits lässt sich zusätzlich wirksam begegnen, indem Entwicklung und Betrieb im Falle des Falles gemeinsam agieren und schnell geeignete Gegenmaßnahmen ergreifen. Dazu zählen z.B. gezielte IT-Forensik und die zeitnahe Bereitstellung einer verbesserten Software.

 

Fazit: Frühe und präventive Sicherheitsmaßnahmen zahlen sich aus

Softwareentwicklung ist heute in vielen Branchen essentiell für Organisationen und Unternehmen. Stand früher oft die Hardware im Mittelpunkt der IT-Überlegungen, verschieben Organisationen heute immer mehr Ressourcen in die Entwicklung von moderner Software.

Dabei kommt dem Thema Sicherheit eine zunehmend wichtigere Rolle zu. Mögliche Sicherheitslücken in einer einzelnen Anwendung können für Cyberangriffe das Eintrittstor in die gesamte Architektur eines Unternehmens sein.

Unternehmen sehen sich neuen Herausforderungen gegenüber, Software schon während der Entwicklung sicher zu gestalten. Dazu zählen unter anderem der Einsatz von agilen Entwicklungsmethoden insbesondere durch die Einführung von DevOps, die bessere Zusammenarbeit von DevOps- und Security-Teams, die Nutzung von Containern, sowie die frühzeitige Schließung von Zero-Day-Lücken.

 

Sie möchten mehr zum Thema Softwareentwicklung erfahren?

Laden Sie das kostenlose Ebook  "Agile Softwareentwicklung als Treiber der Digitalisierung" herunter!


Zum Newsletter anmelden und auf dem Laufenden bleiben

Die aktuellen Blogposts