Laut Gartner, Inc. werden sich die gesamten weltweiten IT-Ausgaben im Jahr 2019 voraussichtlich auf 3,8 Billionen US-Dollar belaufen, während gleichzeitig die weltweiten Ausgaben für Informationssicherheitsprodukte und -dienstleistungen mehr als 124 Milliarden US-Dollar erreichen werden, was einem Anstieg von 8,7 Prozent gegenüber 2018 entspricht. Das ist ziemlich beeindruckend -erstaunliche Zahlen, aber andererseits sind immer noch nur etwa 3,3 Prozent der IT-Ausgaben sicherheitsbezogen. Auch in einer kürzlich von Gartner durchgeführten Umfrage haben 88 Prozent der CIOs weltweit Cybersicherheitssoftware und andere Technologien eingesetzt oder planen dies in den nächsten 12 Monaten.
Es versteht sich von selbst, dass IT-Sicherheit ein sehr heißes Thema ist, da Daten zum wohl wertvollsten Gut überhaupt geworden sind. Dennoch wird IT-Sicherheit von vielen (insbesondere Softwareentwicklern) als notwendiges Übel angesehen, das in einigen lästigen Sicherheitsrichtlinien definiert ist.
Bei fast allen Projekten, an denen ich beteiligt war, wurde Sicherheit sehr spät im Spiel in die Umgebung integriert – ähnlich wie beim Bau einer Bank aus Ziegeln und Mörtel, bei der man sich über Sicherheitsaspekte Gedanken macht, wenn das Gebäude bereits fertig ist. Oder um es in einen vereinfachten Entwicklungslebenszyklus zu integrieren: Kompilieren Sie es, stellen Sie es bereit und lassen Sie dann die Firewall und eine Netzwerksegmentierung den Rest erledigen (und drücken Sie natürlich die Daumen, dass Ihren Daten nie etwas Schlimmes passiert).
SICHERHEIT BEGINNT BEI DEN SPEZIFIKATIONEN
Obwohl es die Konzepte von Missbrauchsfällen, Bedrohungsmodellierung usw. schon seit Ewigkeiten gibt (z. B. in den 1970er/1980er Jahren), werden sie nur sehr selten auf die moderne Softwareentwicklung angewendet. Anstatt sich nur auf den funktionalen Aspekt der Spezifikationen zu konzentrieren (sicherlich macht es mehr Spaß, Funktionen zu erstellen und es dem Entwickler zu ermöglichen, sein Talent unter Beweis zu stellen), ist es im heutigen Zeitalter der Cyber-Bedrohungen genauso wichtig, sich auf Sicherheitsspezifikationen zu konzentrieren.
Wenn beispielsweise Fragen gestellt werden wie „Wo sind meine wertvollen Vermögenswerte?“, „Wo bin ich am anfälligsten für Angriffe?“, „Was/Wer sind die relevantesten Bedrohungen?“ und „Gibt es einen Angriffsvektor, der möglicherweise unbemerkt bleibt?“ Werden sehr früh im Entwicklungsprozess berücksichtigt, ist das resultierende System viel robuster gegenüber potenziellen Angriffen und ist nicht nur auf eine Firewall angewiesen, um es zu schützen (ich habe übrigens nichts gegen Firewalls).
Während die Funktionen des MVP diskutiert und skizziert werden, sollten auch die oben genannten Sicherheitsspezifikationen gut durchdacht, dokumentiert und klar verstanden werden. Es ist bekannt, dass Datenschutzverletzungen dazu führen, dass neue Produkte zerstört werden, bevor sie richtig auf den Markt kommen können.
Nehmen Sie frühzeitig die Sicherheitsleute in Empfang
Anstatt also die Leute aus der Sicherheitsabteilung als das oben erwähnte notwendige Übel zu betrachten, integrieren Sie sie schon sehr früh in den Entwicklungslebenszyklus – also von Anfang an. Den ersten Penetrationstest ein paar Monate nach der Veröffentlichung eines Produkts durchzuführen, nur um dieses unbestimmte Gefühl der Sicherheit zu bekommen, ist keine schlechte Idee, aber sicher nicht die beste. Je früher Ihre Entwickler mit Sicherheitsbedrohungen und Ratschlägen konfrontiert werden, desto robuster wird das resultierende System.
Auch in der heutigen Welt der Geschwindigkeit, Geschwindigkeit und noch mehr Geschwindigkeit, in der neue Funktionen an erster Stelle stehen, können Sie es sich immer noch nicht leisten, Ihre Systeme und Daten den allgegenwärtigen Cyber-Bedrohungen ausgesetzt und anfällig zu machen.
(c) 2019 – Reto Kaeser, Geschäftsführender Gesellschafter @ astarios