FTC ruft Startups auf, IT-Sicherheit von vornherein zu berücksichtigen

Vor ungefähr einem Jahrzehnt mussten viele große Softwarehersteller bittere Lektionen lernen, was Softwaresicherheit und die Berücksichtigung der Sicherheit vom ersten Entwicklungsstadium an betrifft. Einige von ihnen lernen immer noch. Die Federal Trade Commission der USA und Sicherheitsexperten hoffen sehr, dass Neulinge auf dem Gebiet der Softwareentwicklung diesen schmerzhaften Prozess nicht wiederholen müssen.

Vor kurzem präsentiert die FTC die neue Initiative Start With Security, die sich an Startups richtet und kleinere Unternehmen bei der Integration von Internetsicherheit nicht nur in Produkte, sondern auch in die Entwicklungskultur, unterstützen soll. Ein Hauptaspekt dieses Projekts liegt darin, Unternehmen zu ermutigen, schon in den Anfängen des Designs und des Entwicklungsprozesses über die Sicherheit ihrer Produkte nachzudenken. Das ist eine Politik, die führende Anbieter wie Microsoft, Adobe usw. schon seit geraumer Zeit anwenden.

Doch solche strengen Vorgaben stammen nicht von irgendeinem Mitarbeiter, der meinte, das sei eine gute Idee. In den meisten Fällen erfolgten die Veränderungen, die Softwareentwickler in ihren Produkten vorgenommen haben, als Reaktion auf unablässige Attacken und Kundenbeschwerden. Ein gutes Beispiel hierfür ist Microsoft: Eine Reihe von Angriffen von Netzwürmern, die einen Bug in den Produkten des Unternehmens ausnutzten, zwangen die Entwickler dazu, ihren Ansatz komplett zu ändern und sich verstärkt der Sicherheit ihrer Produkte zu widmen.

Bei einer Forumsdiskussion auf einer von der FTC gesponserten Konferenz in San Francisco am vergangenen Donnerstag sagte Window Snyder, die seinerzeit für die Gewährleistung der Sicherheit in den Microsoft-Produkten zuständig war, dass diese Wende ein unglaublich schwieriger Schritt für den Branchenriesen gewesen ist. „Der wichtigste Antrieb für die Wende bei Microsoft war das unglaubliche Ausmaß an Qualen, die das Unternehmen jedes Mal durchleiden musste“, erklärte die IT-Sicherheitsexpertin, heute CSO bei Fastly. „Ihr müsst diesen Weg nicht gehen.“

„Diese Veränderungen hatten einen sehr hohen Preis“, ergänzte Snyder. „Die Kursänderung war zu dem Zeitpunkt eine große Herausforderung und obendrein äußerst arbeitsaufwendig. Man sollte sich das nicht bis zum Schluss aufheben, das ist eine Sache, mit der man sich von Anfang an beschäftigen muss, das ist der beste Zeitpunkt für die Lösung von Sicherheitsfragen.“

Die Teilnehmer der Forumsdiskussion wiesen zudem darauf hin, dass die Berücksichtigung von Sicherheitsfragen in frühen Entwicklungsstadien nicht nur die Sache an sich vereinfacht, sondern auch die Kosten ganz entscheidend reduziert. „Je früher Sie sich um die Sicherheit kümmern, desto weniger – und zwar deutlich weniger – wird es sie kosten“, erklärte Devdatta Akhawe, Sicherheitsexperte bei Dropbox. „Entweder macht man sich früh Gedanken um die Sicherheit und lässt es sich später gut gehen, oder man wurschtelt sich durch und hat schließlich eine teure Schlacht zu schlagen.“

Genau dieses Fazit versuchen Software-Sicherheitsexperten und andere Spezialisten seit langem mit unterschiedlichem Erfolg den Entwicklern zu übermitteln. Viele große Unternehmen, nicht nur kommerzielle Software-Anbieter, praktizieren Secure Coding und Bedrohungsmodellierung und sind in Projekte wie BSIMM, ein Maturitätsmodell für die Softwaresicherheit, involviert. Doch es ist äußerst schwierig, Leuten, die mit IT-Sicherheit nichts zu tun haben, die Wichtigkeit dieser Thematik zu übermitteln.

Nach Meinung des Leiters des SANS-Instituts, Frank Kim, sollte die Demonstration der Risiken und der Vorteile, die mit der Qualität von Software in Verbindung stehen, ein wichtiger Aspekt dieses neuen Projekts werden. „Man sollte seinen Standpunkt mit Geschichten unterfüttern“, ist der Experte überzeugt. „Man darf nicht einfach sagen: ‚In dieser Codezeile ist ein Bug und Du bist ein Dussel.‘ Die Erläuterung, was mit der App aufgrund der Sicherheitslücke passieren könnte, verleiht Ihrer Aussage Gewicht und übermittelt konkrete Fakten.“

Wie wichtig die Frage der Sicherheitsgewährleistung ist, räumt auch die Leitung der FTC ein – des amerikanischen Organs, das für die Ermittlung der Tätigkeit und die Bestrafung von Unternehmen zuständig ist, die die Sicherheitsvorgaben und den Datenschutz missachten. „In einer vernetzten Welt können unzuverlässige Produkte und Services katastrophale Folgen haben“, erklärte die Vorsitzende der FTC, Edith Ramirez, in ihrer Eröffnungsrede. „Heute ist es offensichtlicher denn je, dass die Sicherheit von Softwareprodukten, die unser digitales Leben unterstützen, gegeben sein muss.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.