Laut Gartner, Inc. werden sich die gesamten weltweiten IT-Ausgaben im Jahr 2019 voraussichtlich auf 3,8 Billionen US-Dollar belaufen, w\u00e4hrend gleichzeitig die weltweiten Ausgaben f\u00fcr Informationssicherheitsprodukte und -dienstleistungen mehr als 124 Milliarden US-Dollar erreichen werden, was einem Anstieg von 8,7 Prozent gegen\u00fcber 2018 entspricht. Das ist ziemlich beeindruckend -erstaunliche Zahlen, aber andererseits sind immer noch nur etwa 3,3 Prozent der IT-Ausgaben sicherheitsbezogen. Auch in einer k\u00fcrzlich von Gartner durchgef\u00fchrten Umfrage haben 88 Prozent der CIOs weltweit Cybersicherheitssoftware und andere Technologien eingesetzt oder planen dies in den n\u00e4chsten 12 Monaten.<\/p> \n \n
Es versteht sich von selbst, dass IT-Sicherheit ein sehr hei\u00dfes Thema ist, da Daten zum wohl wertvollsten Gut \u00fcberhaupt geworden sind. Dennoch wird IT-Sicherheit von vielen (insbesondere Softwareentwicklern) als notwendiges \u00dcbel angesehen, das in einigen l\u00e4stigen Sicherheitsrichtlinien definiert ist.<\/p> \n \n
Bei fast allen Projekten, an denen ich beteiligt war, wurde Sicherheit sehr sp\u00e4t im Spiel in die Umgebung integriert \u2013 \u00e4hnlich wie beim Bau einer Bank aus Ziegeln und M\u00f6rtel, bei der man sich \u00fcber Sicherheitsaspekte Gedanken macht, wenn das Geb\u00e4ude bereits fertig ist. Oder um es in einen vereinfachten Entwicklungslebenszyklus zu integrieren: Kompilieren Sie es, stellen Sie es bereit und lassen Sie dann die Firewall und eine Netzwerksegmentierung den Rest erledigen (und dr\u00fccken Sie nat\u00fcrlich die Daumen, dass Ihren Daten nie etwas Schlimmes passiert).<\/p> \n \n
Obwohl es die Konzepte von Missbrauchsf\u00e4llen, Bedrohungsmodellierung usw. schon seit Ewigkeiten gibt (z. B. in den 1970er\/1980er Jahren), werden sie nur sehr selten auf die moderne Softwareentwicklung angewendet. Anstatt sich nur auf den funktionalen Aspekt der Spezifikationen zu konzentrieren (sicherlich macht es mehr Spa\u00df, Funktionen zu erstellen und es dem Entwickler zu erm\u00f6glichen, sein Talent unter Beweis zu stellen), ist es im heutigen Zeitalter der Cyber-Bedrohungen genauso wichtig, sich auf Sicherheitsspezifikationen zu konzentrieren.<\/p> \n \n
Wenn beispielsweise Fragen gestellt werden wie \u201eWo sind meine wertvollen Verm\u00f6genswerte?\u201c, \u201eWo bin ich am anf\u00e4lligsten f\u00fcr Angriffe?\u201c, \u201eWas\/Wer sind die relevantesten Bedrohungen?\u201c und \u201eGibt es einen Angriffsvektor, der m\u00f6glicherweise unbemerkt bleibt?\u201c Werden sehr fr\u00fch im Entwicklungsprozess ber\u00fccksichtigt, ist das resultierende System viel robuster gegen\u00fcber potenziellen Angriffen und ist nicht nur auf eine Firewall angewiesen, um es zu sch\u00fctzen (ich habe \u00fcbrigens nichts gegen Firewalls).<\/p> \n \n
W\u00e4hrend die Funktionen des MVP diskutiert und skizziert werden, sollten auch die oben genannten Sicherheitsspezifikationen gut durchdacht, dokumentiert und klar verstanden werden. Es ist bekannt, dass Datenschutzverletzungen dazu f\u00fchren, dass neue Produkte zerst\u00f6rt werden, bevor sie richtig auf den Markt kommen k\u00f6nnen.<\/p> \n \n
Anstatt also die Leute aus der Sicherheitsabteilung als das oben erw\u00e4hnte notwendige \u00dcbel zu betrachten, integrieren Sie sie schon sehr fr\u00fch in den Entwicklungslebenszyklus \u2013 also von Anfang an. Den ersten Penetrationstest ein paar Monate nach der Ver\u00f6ffentlichung eines Produkts durchzuf\u00fchren, nur um dieses unbestimmte Gef\u00fchl der Sicherheit zu bekommen, ist keine schlechte Idee, aber sicher nicht die beste. Je fr\u00fcher Ihre Entwickler mit Sicherheitsbedrohungen und Ratschl\u00e4gen konfrontiert werden, desto robuster wird das resultierende System.<\/p> \n \n
Auch in der heutigen Welt der Geschwindigkeit, Geschwindigkeit und noch mehr Geschwindigkeit, in der neue Funktionen an erster Stelle stehen, k\u00f6nnen Sie es sich immer noch nicht leisten, Ihre Systeme und Daten den allgegenw\u00e4rtigen Cyber-Bedrohungen ausgesetzt und anf\u00e4llig zu machen.<\/p> \n \n
(c) 2019 \u2013 Reto Kaeser, Gesch\u00e4ftsf\u00fchrender Gesellschafter @ astarios<\/p> \n \n