Softwarehaftung – Fünf Tipps für die Zukunft

In der Vergangenheit waren Softwareanbieter von der Haftung für Sicherheitsverletzungen durch Mängel an ihren Produkten weitgehend verschont. Mit der zunehmenden Abhängigkeit von Technologie und der Häufigkeit und Raffinesse von Cyber-Angriffen zeichnet sich jetzt jedoch ein Wandel ab. [...]

Foto: RetoScheiwiller/Pixabay

Regulierungsbehörden und Gesetzgeber erwägen, die Softwareanbieter stärker zur Verantwortung zu ziehen und die Folgen eines Cyber-Angriffs zu übernehmen, wenn ihre Produkte nicht ein gesetzlich vorgeschriebenes Mindestmaß an Sicherheit bieten. 

Die US-Regierung unter Joe Biden hat mit der kürzlich veröffentlichten National Cybersecurity Strategy den ersten Schritt in diese Richtung unternommen.

Die Übertragung der Verantwortung hätte unterschiedliche Folgen für die Softwareanbieter. Beispielsweise könnte die zusätzliche Verantwortung für bestimmte Qualitätsstandards von Softwareprodukten und -dienstleistungen zu höheren Kosten oder Änderungen in den Herstellungsverfahren führen. 

Möglicherweise müssen die Anbieter mehr in Tests, Qualitätssicherung und Security-Maßnahmen investieren. Darüber hinaus kann eine verschärfte Haftung auch zu Änderungen bei Softwareverträgen und Garantien führen, da sich die Anbieter gegen mögliche Klagen und Schäden aufgrund von Softwarefehlern absichern müssen.

Eine Verlagerung der Verantwortung kann aber auch das Vertrauen der Kunden erhöhen, da sich die Anbieter stärker auf die Suche und Behebung von Schwachstellen konzentrieren müssten.

„Letztendlich kann die Verlagerung der Softwarehaftung Auswirkungen sowohl auf die Softwareanbieter als auch auf die Endnutzer haben“, erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation, Compliance and GDPR bei Veritas Technologies.

„Jede Organisation muss selbst entscheiden, welcher Ansatz für sie am besten geeignet ist – und zwar vor allem auf Grundlage ihrer spezifischen Anforderungen und ihrer jeweiligen Risikobereitschaft.“

Veritas hat fünf Best Practices zusammengestellt, die Unternehmen anwenden können, um sichere Softwareanwendungen zu entwickeln:

Sichere Codierung und Bedrohungsmodellierung

Eine sichere Codierung ist für die Entwicklung sicherer und robuster Anwendungen unerlässlich. Zu ihren wichtigsten Bestandteilen gehören die Eingabevalidierung, die Authentifizierung und Autorisierung, eine sichere Kommunikation, Fehlerbehandlung, Zugriffskontrolle sowie Sicherheit bei der Konfiguration, ebenso wie die Überprüfung des Codes. 

Softwarehersteller sollten auch potenzielle Sicherheitslücken in einem System oder einer Anwendung identifizieren und unverzüglich Maßnahmen zu deren Behebung ergreifen. Dazu zählen unter anderem das Identifizieren von Schwachstellen im Design, in der Konfiguration oder in der Implementierung der Anwendung, die Erkennung potenzieller Angriffsvektoren sowie das Einrichten von Sicherheitskontrollen.

Software Bill of Materials Management (SBOMs)

SBOMs beinhalten alle Komponenten, aus denen eine Softwareanwendung besteht, einschließlich Bibliotheken und Frameworks. Als wesentlicher Bestandteil der Softwareentwicklung können SBOMs dabei helfen, potenzielle Schwachstellen zum Beispiel in Lieferketten, Risiken in Komponenten und Abhängigkeiten von Drittanbietern zu identifizieren.

Außerdem unterstützen sie Unternehmen bei der Einhaltung von Branchenvorschriften und -standards und der Zusammenarbeit zwischen verschiedenen Entwicklungsteams. Mithilfe von SBOMs können Unternehmen ihr Risikomanagement in der Lieferkette verbessern, Sicherheitsverletzungen eindämmen und für eine bessere Einhaltung von Open-Source-Lizenzanforderungen sorgen.

Penetrationstests und sicheres Konfigurationsmanagement

Penetrationstests bilden das zentrale Element einer umfassenden Sicherheitstest-Strategie. Das Konfigurationsmanagement beinhaltet die Definition und Durchsetzung von Sicherheitsrichtlinien und Best Practices für die Systemkonfiguration.

Ein sicheres Konfigurationsmanagement umfasst mehrere zentrale Komponenten wie Standardkonfigurationen, Änderungsmanagement, Sicherheitskontrollen sowie das Schwachstellen- und Patchmanagement. Damit werden häufige Sicherheitslücken in Anwendungen vermieden.

Zugriffskontrolle und Sicherheitsschulungen

Sensible Daten, Funktionen und Ressourcen sollten nur autorisierten Benutzern oder Systemen zugänglich sein. 
Sicherheitsschulungen vermitteln den Entwicklern die notwendigen Fähigkeiten und Kenntnisse, um sichere Software zu entwickeln und Schwachstellen einzudämmen.

Reaktion auf Vorfälle und kontinuierliche Überwachung

Klar definierte Reaktionen auf Sicherheitsvorfälle und Schwachstellen in Anwendungen sind ein wesentlicher Bestandteil der Softwareentwicklung. Die Hersteller sollten ihre Systemprotokolle, den Netzwerkverkehr und das Benutzerverhalten kontinuierlich auf Anzeichen von Sicherheitslücken oder -verletzungen analysieren.

„Best Practices können Unternehmen helfen, sichere und zuverlässige Softwareanwendungen zu entwickeln, die gegen potenzielle Bedrohungen und Schwachstellen resistent sind. Es ist wichtig, dem Thema Security in jeder Phase der Softwareentwicklung Priorität einzuräumen, um unbefugten Zugriff zu verhindern und vertrauliche Daten zu schützen“, so Ahlgrim abschließend.

www.veritas.com

powered by www.it-daily.net


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*