Software-Lücken: Offen wie Scheunentore

Security by Design leitet einen Paradigmenwechsel in der Software-Entwicklung ein. Mit ISO 27001 und der Sub-Norm für Applikationssicherheit ISO 27034 stehen der oft geforderte Leitfaden für sicheres Software-Design seit längerem zur Verfügung. [...]

Medienberichte ließen vor kurzem mit Sicherheitslücken in weit verbreiteten Applikationen wie Internet-Explorer und Adobe-Flashplayer aufhorchen. Software-Schwachstellen führen auch die aktuelle Bedrohungsskala der European Information Security Agency ENISA an. Eine Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) bestätigt eindrucksvoll: Seit 2011 hat sich die Zahl der gemeldeten Software-Sicherheitslücken nach einem vorherigen Rückgang wieder stark erhöht. Ende 2014 waren es weltweit rund 6.900. Sicherheitslücken höchsten Schweregrads wurden laut Studie zwar reduziert. Das HPI schlägt aber Alarm, dass mittelschwere und nicht minder gefährliche Vulnerabilities Ende 2014 einen Höchststand erreichten. Die Folgen dieser Schwachstellen zeigten sich zu jeweils 12 bis 14 Prozent in Problemen bei der Verfügbarkeit, Integrität oder Vertraulichkeit verwalteter Daten.

Hier schließt sich der Kreis zu dem aktuellen Ruf gewichtiger Stimmen in Europa nach einem Paradigmenwechsel in der Software-Entwicklung – kurz: Security by Design. So fordert der Entwurf der Europäischen Datenschutzrichtlinie, dass technische wie auch organisatorische Sicherheitsmaß-nahmen den gesamten Systemlebenszyklus abdecken: von der Analyse und Design über den Betrieb bis zur Entsorgung. Während Applikationssicherheit lange Zeit vorwiegend durch technische Maßnahmen wie Kryptografie und Authentifizierung adressiert wurde, fordert nun auch die ENISA in ihrer Veröffentlichung „Privacy and Data Protection by Design“ einen interdisziplinären Ansatz, angemessenes Sicherheitsverständnis, die Einhaltung von Standards und härtere Rechtsbestimmungen.

In der novellierten Version der Norm für Informationssicherheit, ISO 27001:2013, spiegelt sich dieser Paradigmenwechsel in der Software-Entwicklung bereits wider. Der Thematik ist nun ein ganzes Kapitel gewidmet. Ebenso gibt es mit der dazugehörigen ISO 27034 eine eigene Sub-Norm für Applikationssicherheit. Der vielfach geforderte Standard für Security by Design ist also de facto längst verfügbar und höchst praktikabel.

Die ISO 27034 gibt detallierte Empfehlungen für eine Integration der Informationssicherheit über den gesamten System-Lebenszyklus – mit fünf Kernaspekten: Definition der Anforderungen unter Berücksichtigung von Stakeholder-Interessen, Wirtschaftlichkeit und Compliance. Es folgt die Durchführung einer Risikoanalyse für den gesamten Lebenszyklus über alle Architekturebenen. Daraus resultiert die Umsetzung entsprechender Maßnahmen, von Secure Coding bis zum geschützten Umgang mit Testdaten. Der sichere Betrieb ist mittels Audits und Incident-Analysen laufend zu optimieren. Der Zyklus schließt mit der sicheren Archivierung und Vernichtung der Daten und Software. Soweit die Theorie – nun sollte die Praxis folgen.

SECURITY-SYMPOSIUM
Event-Tipp: Zum Thema Informationssicherheit nach ISO 27001 findet am 20.05.2015 das 11. Information-Security-Symposium der Zertifizierungsorganisationen CIS und Quality Austria statt. Auf dem Programm stehen Notfallplanung bei REWE, E-Personalakt oder Cybercrime-Ermittlungen des BMI. Anmeldung unter der Adresse: www.cis-cert.com/Symposium.

* Die Autorin Margareth Stoll ist IT-Sicherheitsverantwortliche, Beraterin sowie Auditorin der Zertifizierungsorganisation CIS.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*