23. April 2015 Margareth Stoll*

Software-Lücken: Offen wie Scheunentore

Security by Design leitet einen Paradigmenwechsel in der Software-Entwicklung ein. Mit ISO 27001 und der Sub-Norm für Applikationssicherheit ISO 27034 stehen der oft geforderte Leitfaden für sicheres Software-Design seit längerem zur Verfügung. [...]

Medienberichte ließen vor kurzem mit Sicherheitslücken in weit verbreiteten Applikationen wie Internet-Explorer und Adobe-Flashplayer aufhorchen. Software-Schwachstellen führen auch die aktuelle Bedrohungsskala der European Information Security Agency ENISA an. Eine Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) bestätigt eindrucksvoll: Seit 2011 hat sich die Zahl der gemeldeten Software-Sicherheitslücken nach einem vorherigen Rückgang wieder stark erhöht. Ende 2014 waren es weltweit rund 6.900. Sicherheitslücken höchsten Schweregrads wurden laut Studie zwar reduziert. Das HPI schlägt aber Alarm, dass mittelschwere und nicht minder gefährliche Vulnerabilities Ende 2014 einen Höchststand erreichten. Die Folgen dieser Schwachstellen zeigten sich zu jeweils 12 bis 14 Prozent in Problemen bei der Verfügbarkeit, Integrität oder Vertraulichkeit verwalteter Daten.

Hier schließt sich der Kreis zu dem aktuellen Ruf gewichtiger Stimmen in Europa nach einem Paradigmenwechsel in der Software-Entwicklung – kurz: Security by Design. So fordert der Entwurf der Europäischen Datenschutzrichtlinie, dass technische wie auch organisatorische Sicherheitsmaß-nahmen den gesamten Systemlebenszyklus abdecken: von der Analyse und Design über den Betrieb bis zur Entsorgung. Während Applikationssicherheit lange Zeit vorwiegend durch technische Maßnahmen wie Kryptografie und Authentifizierung adressiert wurde, fordert nun auch die ENISA in ihrer Veröffentlichung „Privacy and Data Protection by Design“ einen interdisziplinären Ansatz, angemessenes Sicherheitsverständnis, die Einhaltung von Standards und härtere Rechtsbestimmungen.

In der novellierten Version der Norm für Informationssicherheit, ISO 27001:2013, spiegelt sich dieser Paradigmenwechsel in der Software-Entwicklung bereits wider. Der Thematik ist nun ein ganzes Kapitel gewidmet. Ebenso gibt es mit der dazugehörigen ISO 27034 eine eigene Sub-Norm für Applikationssicherheit. Der vielfach geforderte Standard für Security by Design ist also de facto längst verfügbar und höchst praktikabel.

Die ISO 27034 gibt detallierte Empfehlungen für eine Integration der Informationssicherheit über den gesamten System-Lebenszyklus – mit fünf Kernaspekten: Definition der Anforderungen unter Berücksichtigung von Stakeholder-Interessen, Wirtschaftlichkeit und Compliance. Es folgt die Durchführung einer Risikoanalyse für den gesamten Lebenszyklus über alle Architekturebenen. Daraus resultiert die Umsetzung entsprechender Maßnahmen, von Secure Coding bis zum geschützten Umgang mit Testdaten. Der sichere Betrieb ist mittels Audits und Incident-Analysen laufend zu optimieren. Der Zyklus schließt mit der sicheren Archivierung und Vernichtung der Daten und Software. Soweit die Theorie – nun sollte die Praxis folgen.

SECURITY-SYMPOSIUM
Event-Tipp: Zum Thema Informationssicherheit nach ISO 27001 findet am 20.05.2015 das 11. Information-Security-Symposium der Zertifizierungsorganisationen CIS und Quality Austria statt. Auf dem Programm stehen Notfallplanung bei REWE, E-Personalakt oder Cybercrime-Ermittlungen des BMI. Anmeldung unter der Adresse: www.cis-cert.com/Symposium.

* Die Autorin Margareth Stoll ist IT-Sicherheitsverantwortliche, Beraterin sowie Auditorin der Zertifizierungsorganisation CIS.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Miro Mitrovic ist Area Vice President für die DACH-Region bei Proofpoint.(c) Proofpoint
Kommentar

Die Achillesferse der Cybersicherheit

19. September 2024 Miro Mitrovic*

Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyberangreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. Eine große Schwachstelle ist dabei der Mensch, meint Miro Mitrovic, Area Vice President DACH bei Proofpoint. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*