Die Zukunft der Cybersicherheit: Was im kommenden Jahr NICHT passieren wird
Eine Version dieses Artikels erschien ursprünglich in Dunkles Lesen. Er wurde für die Syndikation hier aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die brisanten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber angesichts von mehr als fünf Milliarden gestohlenen sensiblen Datensätzen im Jahr 2019 dachte ich mir, dass es genauer wäre, vorherzusagen, was in der Cybersicherheit im Jahr 2020 oder sogar in der absehbaren Zukunft nicht passieren wird.
Ich habe mich mit meinem Mitbegründer Matias Madou zusammengesetzt und wir haben bei der Zusammenstellung dieser Liste ein wenig gelacht. Die Liste ist eher als lockerer Ausblick gedacht, aber sie regt zum Nachdenken über den langen Weg an, der vor jeder Organisation liegt, um sie gegen bösartige Cyberangriffe zu schützen.
Schauen wir nun in unsere Kristallkugel und verraten unsere Vorhersagen. Wir werden nicht sehen:
SQL-Injections aus aller Software ausgemerzt
Ich glaube, jeder Sicherheitsexperte auf dem Planeten hat auf den Tag gewartet, an dem er nicht mehr dazu verdammt ist, SQL-Injection-Bugs zu identifizieren, ad nauseam.
Traurigerweise warten wir seit mehr als zwanzig Jahren auf diesen Tag, und wir werden noch mindestens einen weiteren warten. Es ist die Schwachstelle, die wie eine Kakerlake bisher jede Taktik überlebt hat, um sie endgültig auszurotten.
Das ist gelinde gesagt frustrierend, da die Abhilfe schon seit ziemlich genau so langer Zeit bekannt ist. Die Priorisierung von Sicherheits-Best-Practices in jeder Phase der Software-Entwicklung (vor allem von Anfang an) ist jedoch nach wie vor zu gering und angesichts der enormen Zunahme der Code-Produktion seit der Entdeckung von SQL-Injection sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injection führen können? Nehmen Sie die Herausforderung hier an).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen, oder sind sie zu einem Leben der Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet: Ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie in einer Projektumgebung aufeinandertreffen, stehen sie auf entgegengesetzten Seiten und prallen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat schöne, funktionale Funktionen gebaut (was seine oberste Priorität ist), die auseinandergerissen werden, wenn Sicherheitslücken entdeckt werden. Der Software-Sicherheitsguru hat sein Baby in der Tat als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was oft die Bereitstellung verzögert.
In unserem aktuellen Zustand wird dies nicht behoben werden, bis Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Erstellung von sicherer Software. Das wird nicht als Standardprozess im Jahr 2020 passieren (und bei vielen Unternehmen noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich in Sachen Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten; einem, der Sicherheitsziele von Anfang an einschließt.
Ein Überangebot an Sicherheitsexperten
Im Jahr 2020, 2025, 2030... ist es fast garantiert, dass wir weltweit unterbesetzt sein werden, wenn es um Sicherheitskompetenz geht.
Einem Bericht des ISC(2) zufolge sind derzeit rund 2,93 Millionen Stellen im Bereich Cybersicherheit unbesetzt. Dies wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, in den nächsten Jahren zu unserer Rettung zu marschieren.
In der unmittelbaren Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehende Belegschaft weiterzubilden. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich mit bekannten, alten Sicherheitslücken (siehe Punkt 1 oben). Wenn wir dafür sorgen, dass sie keine kostbare Zeit und Mühe darauf verwenden müssen, diese allgemeinen Probleme zu beheben, haben sie mehr Bandbreite, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (im Moment umfassen diese wahrscheinlich Probleme mit APIs sowie die Erstellung von Tools, die in Entwicklungspipelines passen).
Weniger Code wird produziert
Die Welt wird in einem atemberaubenden Tempo digitalisiert, und die gesellschaftliche Nachfrage wird nicht nachlassen. Jedes Jahr werden ca. 111 Milliarden Codezeilen geschrieben, und diese Zahl wird immer größer und beängstigender werden (für die ohnehin schon überforderten AppSec-Teams).
Ein erhöhtes Codevolumen führt unweigerlich zu einer Zunahme potenzieller Sicherheitslücken, sodass alle Überlegungen, dass 2020 ein langsameres Jahr für die Softwareproduktion und Sicherheitsverletzungen sein wird, ungefähr so realistisch sind wie ein Einhornrennen beim Grand National.
Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Schwachstellen, und das bietet mehr Möglichkeiten für Angreifer, einen Weg zu finden, Daten zu stehlen.
Mindestens 5,3 Milliarden Datensätze wurden 2019 weltweit gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nah dran sein.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den Vereinigten Staaten im Jahresvergleich an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einer kleinen Ebbe und Flut zwischen den Jahren zu erkennen. Dies ist interessant, aber ein wichtiger Faktor, der hervorgehoben werden sollte, ist, dass 2009 ein starker Rückgang der gemeldeten Verstöße im Vergleich zu 2008 zu verzeichnen war. Die Anzahl der gestohlenen Datensätze stieg jedoch trotz weniger Verstöße deutlich an.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen und der Anzahl der gestohlenen Datensätze wider, mit einem enormen Höhepunkt im Jahr 2017. Die Anzahl der Angriffe ging 2018 tendenziell zurück, vielleicht aufgrund strengerer Sicherheitsmaßnahmen, aber die Anzahl der erlangten Datensätze war so hoch wie nie zuvor. Cyberangriffe werden immer ausgefeilter und umfangreicher und werden in absehbarer Zeit nicht verschwinden. Und weltweit werden wir im Jahr 2020 wahrscheinlich keinen Rückgang erleben, da die Unternehmen schnell mehr Software produzieren als je zuvor. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere und häufigere videobasierte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es, sich stundenlang Computer Based Training (CBT) Videos anzusehen. Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die sich allgemeinen Sicherheitsschulungsvideos widmet.
Äh, nö. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt der Einstieg in das Thema Sicherheit oft über eine Schulung zur Einhaltung von Vorschriften am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und die Ausbildung am Arbeitsplatz kann die allererste Begegnung mit Software-Sicherheit sein. Und es überrascht nicht, dass sie das oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen - und damit Schulungen nützlich sind - müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen - oder ein endloser Strom von langweiligen Videos - sind nicht der Weg zum Herzen eines Entwicklers und werden Schwachstellen nicht reduzieren.
Wenn Sie wollen, dass die Entwickler-Kohorte eine Chance hat, eine sicherheitsbewusste Verteidigungskraft gegen häufige Schwachstellen zu werden, lassen Sie sie mit echten Code-Beispielen arbeiten - die Art, mit der sie bei ihren täglichen Aufgaben zu tun haben. Machen Sie das Lernen mundgerecht, leicht ausbaufähig, und schaffen Sie Anreize, die Spaß machen. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und echte Fähigkeiten und Lösungen im gesamten Unternehmen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen inneren Sicherheits-Champion und verbreitet die Vorteile von sicherem Coding weit und breit.
Null Todesfälle durch einen cybersicherheitsrelevanten Vorfall
Okay, das ist eindeutig kein Grund zum Lachen. Ich habe schon oft gesagt, dass die Welt sich einfach nicht um Cybersicherheit kümmern wird, bis Menschen durch einen Cyberangriff sterben.
Das Problem ist, dass dies bereits geschehen ist, und es blieb weitgehend unbemerkt.
Cyberangriffe auf US-Krankenhäuser wurden mit einem Anstieg der Todesfälle durch Herzinfarkt im Jahr 2019 in Verbindung gebracht. Natürlich verursachten die Angreifer keine tödlichen kardialen Ereignisse bei Patienten, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die kritische Versorgung.
Diese Studie der University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 eine Datenpanne erlebt hatten. In den Krankenhäusern, die von einem Sicherheitsvorfall betroffen waren, dauerte es im Durchschnitt 2,7 Minuten länger, bis ein EKG bei Verdacht auf Herzinfarkt durchgeführt wurde; wahrscheinlich aufgrund von Verfahrensänderungen, neu implementierten Sicherheitsmaßnahmen und IT-Support-Problemen, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und in diesen Krankenhäusern gab es im Durchschnitt 36 zusätzliche Todesfälle pro 10.000 Herzinfarkte pro Jahr.
Das ist schockierend, und leider denke ich, dass es noch schlimmer wird, bevor es besser wird. Dies sollte eine deutliche Erinnerung daran sein, dass wir alle mehr tun müssen, um die Softwaresicherheit zu verbessern und sie in jedem Unternehmen in den Vordergrund zu stellen.
Weniger Stockbilder von "vermummten Hackern"
Wenn man "Hacker" in eine Bildersuche eingibt, stößt man unweigerlich auf Tausende von Bildern einer vermummten, gesichtslosen Gestalt, die auf einem Laptop herumtippt, oder auf eine ähnliche Gestalt mit einer Guy-Fawkes-Maske.
Dieses klischeehafte Bild eines Hackers ist wirklich ermüdend und, nun ja, es lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädels in der Sicherheitsbranche, und die negativen Assoziationen rund um das "Hacker"-Image erweisen allen einen schlechten Dienst.
Ob sich das in nächster Zeit ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Für den Moment ist es wichtig, sich daran zu erinnern, dass Sicherheit nicht beängstigend sein muss.
In unserer Branche haben viele Sicherheitsexperten damit begonnen, die brisanten Themen für das Jahr vorherzusagen, aber angesichts von mehr als fünf Milliarden gestohlenen sensiblen Datensätzen im Jahr 2019 dachten wir uns, dass es genauer wäre, vorherzusagen, was in absehbarer Zeit in der Cybersicherheit passieren wird.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in Dunkles Lesen. Er wurde für die Syndikation hier aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die brisanten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber angesichts von mehr als fünf Milliarden gestohlenen sensiblen Datensätzen im Jahr 2019 dachte ich mir, dass es genauer wäre, vorherzusagen, was in der Cybersicherheit im Jahr 2020 oder sogar in der absehbaren Zukunft nicht passieren wird.
Ich habe mich mit meinem Mitbegründer Matias Madou zusammengesetzt und wir haben bei der Zusammenstellung dieser Liste ein wenig gelacht. Die Liste ist eher als lockerer Ausblick gedacht, aber sie regt zum Nachdenken über den langen Weg an, der vor jeder Organisation liegt, um sie gegen bösartige Cyberangriffe zu schützen.
Schauen wir nun in unsere Kristallkugel und verraten unsere Vorhersagen. Wir werden nicht sehen:
SQL-Injections aus aller Software ausgemerzt
Ich glaube, jeder Sicherheitsexperte auf dem Planeten hat auf den Tag gewartet, an dem er nicht mehr dazu verdammt ist, SQL-Injection-Bugs zu identifizieren, ad nauseam.
Traurigerweise warten wir seit mehr als zwanzig Jahren auf diesen Tag, und wir werden noch mindestens einen weiteren warten. Es ist die Schwachstelle, die wie eine Kakerlake bisher jede Taktik überlebt hat, um sie endgültig auszurotten.
Das ist gelinde gesagt frustrierend, da die Abhilfe schon seit ziemlich genau so langer Zeit bekannt ist. Die Priorisierung von Sicherheits-Best-Practices in jeder Phase der Software-Entwicklung (vor allem von Anfang an) ist jedoch nach wie vor zu gering und angesichts der enormen Zunahme der Code-Produktion seit der Entdeckung von SQL-Injection sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injection führen können? Nehmen Sie die Herausforderung hier an).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen, oder sind sie zu einem Leben der Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet: Ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie in einer Projektumgebung aufeinandertreffen, stehen sie auf entgegengesetzten Seiten und prallen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat schöne, funktionale Funktionen gebaut (was seine oberste Priorität ist), die auseinandergerissen werden, wenn Sicherheitslücken entdeckt werden. Der Software-Sicherheitsguru hat sein Baby in der Tat als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was oft die Bereitstellung verzögert.
In unserem aktuellen Zustand wird dies nicht behoben werden, bis Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Erstellung von sicherer Software. Das wird nicht als Standardprozess im Jahr 2020 passieren (und bei vielen Unternehmen noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich in Sachen Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten; einem, der Sicherheitsziele von Anfang an einschließt.
Ein Überangebot an Sicherheitsexperten
Im Jahr 2020, 2025, 2030... ist es fast garantiert, dass wir weltweit unterbesetzt sein werden, wenn es um Sicherheitskompetenz geht.
Einem Bericht des ISC(2) zufolge sind derzeit rund 2,93 Millionen Stellen im Bereich Cybersicherheit unbesetzt. Dies wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, in den nächsten Jahren zu unserer Rettung zu marschieren.
In der unmittelbaren Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehende Belegschaft weiterzubilden. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich mit bekannten, alten Sicherheitslücken (siehe Punkt 1 oben). Wenn wir dafür sorgen, dass sie keine kostbare Zeit und Mühe darauf verwenden müssen, diese allgemeinen Probleme zu beheben, haben sie mehr Bandbreite, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (im Moment umfassen diese wahrscheinlich Probleme mit APIs sowie die Erstellung von Tools, die in Entwicklungspipelines passen).
Weniger Code wird produziert
Die Welt wird in einem atemberaubenden Tempo digitalisiert, und die gesellschaftliche Nachfrage wird nicht nachlassen. Jedes Jahr werden ca. 111 Milliarden Codezeilen geschrieben, und diese Zahl wird immer größer und beängstigender werden (für die ohnehin schon überforderten AppSec-Teams).
Ein erhöhtes Codevolumen führt unweigerlich zu einer Zunahme potenzieller Sicherheitslücken, sodass alle Überlegungen, dass 2020 ein langsameres Jahr für die Softwareproduktion und Sicherheitsverletzungen sein wird, ungefähr so realistisch sind wie ein Einhornrennen beim Grand National.
Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Schwachstellen, und das bietet mehr Möglichkeiten für Angreifer, einen Weg zu finden, Daten zu stehlen.
Mindestens 5,3 Milliarden Datensätze wurden 2019 weltweit gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nah dran sein.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den Vereinigten Staaten im Jahresvergleich an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einer kleinen Ebbe und Flut zwischen den Jahren zu erkennen. Dies ist interessant, aber ein wichtiger Faktor, der hervorgehoben werden sollte, ist, dass 2009 ein starker Rückgang der gemeldeten Verstöße im Vergleich zu 2008 zu verzeichnen war. Die Anzahl der gestohlenen Datensätze stieg jedoch trotz weniger Verstöße deutlich an.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen und der Anzahl der gestohlenen Datensätze wider, mit einem enormen Höhepunkt im Jahr 2017. Die Anzahl der Angriffe ging 2018 tendenziell zurück, vielleicht aufgrund strengerer Sicherheitsmaßnahmen, aber die Anzahl der erlangten Datensätze war so hoch wie nie zuvor. Cyberangriffe werden immer ausgefeilter und umfangreicher und werden in absehbarer Zeit nicht verschwinden. Und weltweit werden wir im Jahr 2020 wahrscheinlich keinen Rückgang erleben, da die Unternehmen schnell mehr Software produzieren als je zuvor. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere und häufigere videobasierte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es, sich stundenlang Computer Based Training (CBT) Videos anzusehen. Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die sich allgemeinen Sicherheitsschulungsvideos widmet.
Äh, nö. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt der Einstieg in das Thema Sicherheit oft über eine Schulung zur Einhaltung von Vorschriften am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und die Ausbildung am Arbeitsplatz kann die allererste Begegnung mit Software-Sicherheit sein. Und es überrascht nicht, dass sie das oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen - und damit Schulungen nützlich sind - müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen - oder ein endloser Strom von langweiligen Videos - sind nicht der Weg zum Herzen eines Entwicklers und werden Schwachstellen nicht reduzieren.
Wenn Sie wollen, dass die Entwickler-Kohorte eine Chance hat, eine sicherheitsbewusste Verteidigungskraft gegen häufige Schwachstellen zu werden, lassen Sie sie mit echten Code-Beispielen arbeiten - die Art, mit der sie bei ihren täglichen Aufgaben zu tun haben. Machen Sie das Lernen mundgerecht, leicht ausbaufähig, und schaffen Sie Anreize, die Spaß machen. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und echte Fähigkeiten und Lösungen im gesamten Unternehmen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen inneren Sicherheits-Champion und verbreitet die Vorteile von sicherem Coding weit und breit.
Null Todesfälle durch einen cybersicherheitsrelevanten Vorfall
Okay, das ist eindeutig kein Grund zum Lachen. Ich habe schon oft gesagt, dass die Welt sich einfach nicht um Cybersicherheit kümmern wird, bis Menschen durch einen Cyberangriff sterben.
Das Problem ist, dass dies bereits geschehen ist, und es blieb weitgehend unbemerkt.
Cyberangriffe auf US-Krankenhäuser wurden mit einem Anstieg der Todesfälle durch Herzinfarkt im Jahr 2019 in Verbindung gebracht. Natürlich verursachten die Angreifer keine tödlichen kardialen Ereignisse bei Patienten, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die kritische Versorgung.
Diese Studie der University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 eine Datenpanne erlebt hatten. In den Krankenhäusern, die von einem Sicherheitsvorfall betroffen waren, dauerte es im Durchschnitt 2,7 Minuten länger, bis ein EKG bei Verdacht auf Herzinfarkt durchgeführt wurde; wahrscheinlich aufgrund von Verfahrensänderungen, neu implementierten Sicherheitsmaßnahmen und IT-Support-Problemen, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und in diesen Krankenhäusern gab es im Durchschnitt 36 zusätzliche Todesfälle pro 10.000 Herzinfarkte pro Jahr.
Das ist schockierend, und leider denke ich, dass es noch schlimmer wird, bevor es besser wird. Dies sollte eine deutliche Erinnerung daran sein, dass wir alle mehr tun müssen, um die Softwaresicherheit zu verbessern und sie in jedem Unternehmen in den Vordergrund zu stellen.
Weniger Stockbilder von "vermummten Hackern"
Wenn man "Hacker" in eine Bildersuche eingibt, stößt man unweigerlich auf Tausende von Bildern einer vermummten, gesichtslosen Gestalt, die auf einem Laptop herumtippt, oder auf eine ähnliche Gestalt mit einer Guy-Fawkes-Maske.
Dieses klischeehafte Bild eines Hackers ist wirklich ermüdend und, nun ja, es lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädels in der Sicherheitsbranche, und die negativen Assoziationen rund um das "Hacker"-Image erweisen allen einen schlechten Dienst.
Ob sich das in nächster Zeit ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Für den Moment ist es wichtig, sich daran zu erinnern, dass Sicherheit nicht beängstigend sein muss.
Eine Version dieses Artikels erschien ursprünglich in Dunkles Lesen. Er wurde für die Syndikation hier aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die brisanten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber angesichts von mehr als fünf Milliarden gestohlenen sensiblen Datensätzen im Jahr 2019 dachte ich mir, dass es genauer wäre, vorherzusagen, was in der Cybersicherheit im Jahr 2020 oder sogar in der absehbaren Zukunft nicht passieren wird.
Ich habe mich mit meinem Mitbegründer Matias Madou zusammengesetzt und wir haben bei der Zusammenstellung dieser Liste ein wenig gelacht. Die Liste ist eher als lockerer Ausblick gedacht, aber sie regt zum Nachdenken über den langen Weg an, der vor jeder Organisation liegt, um sie gegen bösartige Cyberangriffe zu schützen.
Schauen wir nun in unsere Kristallkugel und verraten unsere Vorhersagen. Wir werden nicht sehen:
SQL-Injections aus aller Software ausgemerzt
Ich glaube, jeder Sicherheitsexperte auf dem Planeten hat auf den Tag gewartet, an dem er nicht mehr dazu verdammt ist, SQL-Injection-Bugs zu identifizieren, ad nauseam.
Traurigerweise warten wir seit mehr als zwanzig Jahren auf diesen Tag, und wir werden noch mindestens einen weiteren warten. Es ist die Schwachstelle, die wie eine Kakerlake bisher jede Taktik überlebt hat, um sie endgültig auszurotten.
Das ist gelinde gesagt frustrierend, da die Abhilfe schon seit ziemlich genau so langer Zeit bekannt ist. Die Priorisierung von Sicherheits-Best-Practices in jeder Phase der Software-Entwicklung (vor allem von Anfang an) ist jedoch nach wie vor zu gering und angesichts der enormen Zunahme der Code-Produktion seit der Entdeckung von SQL-Injection sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injection führen können? Nehmen Sie die Herausforderung hier an).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen, oder sind sie zu einem Leben der Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet: Ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie in einer Projektumgebung aufeinandertreffen, stehen sie auf entgegengesetzten Seiten und prallen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat schöne, funktionale Funktionen gebaut (was seine oberste Priorität ist), die auseinandergerissen werden, wenn Sicherheitslücken entdeckt werden. Der Software-Sicherheitsguru hat sein Baby in der Tat als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was oft die Bereitstellung verzögert.
In unserem aktuellen Zustand wird dies nicht behoben werden, bis Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Erstellung von sicherer Software. Das wird nicht als Standardprozess im Jahr 2020 passieren (und bei vielen Unternehmen noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich in Sachen Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten; einem, der Sicherheitsziele von Anfang an einschließt.
Ein Überangebot an Sicherheitsexperten
Im Jahr 2020, 2025, 2030... ist es fast garantiert, dass wir weltweit unterbesetzt sein werden, wenn es um Sicherheitskompetenz geht.
Einem Bericht des ISC(2) zufolge sind derzeit rund 2,93 Millionen Stellen im Bereich Cybersicherheit unbesetzt. Dies wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, in den nächsten Jahren zu unserer Rettung zu marschieren.
In der unmittelbaren Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehende Belegschaft weiterzubilden. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich mit bekannten, alten Sicherheitslücken (siehe Punkt 1 oben). Wenn wir dafür sorgen, dass sie keine kostbare Zeit und Mühe darauf verwenden müssen, diese allgemeinen Probleme zu beheben, haben sie mehr Bandbreite, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (im Moment umfassen diese wahrscheinlich Probleme mit APIs sowie die Erstellung von Tools, die in Entwicklungspipelines passen).
Weniger Code wird produziert
Die Welt wird in einem atemberaubenden Tempo digitalisiert, und die gesellschaftliche Nachfrage wird nicht nachlassen. Jedes Jahr werden ca. 111 Milliarden Codezeilen geschrieben, und diese Zahl wird immer größer und beängstigender werden (für die ohnehin schon überforderten AppSec-Teams).
Ein erhöhtes Codevolumen führt unweigerlich zu einer Zunahme potenzieller Sicherheitslücken, sodass alle Überlegungen, dass 2020 ein langsameres Jahr für die Softwareproduktion und Sicherheitsverletzungen sein wird, ungefähr so realistisch sind wie ein Einhornrennen beim Grand National.
Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Schwachstellen, und das bietet mehr Möglichkeiten für Angreifer, einen Weg zu finden, Daten zu stehlen.
Mindestens 5,3 Milliarden Datensätze wurden 2019 weltweit gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nah dran sein.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den Vereinigten Staaten im Jahresvergleich an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einer kleinen Ebbe und Flut zwischen den Jahren zu erkennen. Dies ist interessant, aber ein wichtiger Faktor, der hervorgehoben werden sollte, ist, dass 2009 ein starker Rückgang der gemeldeten Verstöße im Vergleich zu 2008 zu verzeichnen war. Die Anzahl der gestohlenen Datensätze stieg jedoch trotz weniger Verstöße deutlich an.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen und der Anzahl der gestohlenen Datensätze wider, mit einem enormen Höhepunkt im Jahr 2017. Die Anzahl der Angriffe ging 2018 tendenziell zurück, vielleicht aufgrund strengerer Sicherheitsmaßnahmen, aber die Anzahl der erlangten Datensätze war so hoch wie nie zuvor. Cyberangriffe werden immer ausgefeilter und umfangreicher und werden in absehbarer Zeit nicht verschwinden. Und weltweit werden wir im Jahr 2020 wahrscheinlich keinen Rückgang erleben, da die Unternehmen schnell mehr Software produzieren als je zuvor. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere und häufigere videobasierte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es, sich stundenlang Computer Based Training (CBT) Videos anzusehen. Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die sich allgemeinen Sicherheitsschulungsvideos widmet.
Äh, nö. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt der Einstieg in das Thema Sicherheit oft über eine Schulung zur Einhaltung von Vorschriften am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und die Ausbildung am Arbeitsplatz kann die allererste Begegnung mit Software-Sicherheit sein. Und es überrascht nicht, dass sie das oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen - und damit Schulungen nützlich sind - müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen - oder ein endloser Strom von langweiligen Videos - sind nicht der Weg zum Herzen eines Entwicklers und werden Schwachstellen nicht reduzieren.
Wenn Sie wollen, dass die Entwickler-Kohorte eine Chance hat, eine sicherheitsbewusste Verteidigungskraft gegen häufige Schwachstellen zu werden, lassen Sie sie mit echten Code-Beispielen arbeiten - die Art, mit der sie bei ihren täglichen Aufgaben zu tun haben. Machen Sie das Lernen mundgerecht, leicht ausbaufähig, und schaffen Sie Anreize, die Spaß machen. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und echte Fähigkeiten und Lösungen im gesamten Unternehmen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen inneren Sicherheits-Champion und verbreitet die Vorteile von sicherem Coding weit und breit.
Null Todesfälle durch einen cybersicherheitsrelevanten Vorfall
Okay, das ist eindeutig kein Grund zum Lachen. Ich habe schon oft gesagt, dass die Welt sich einfach nicht um Cybersicherheit kümmern wird, bis Menschen durch einen Cyberangriff sterben.
Das Problem ist, dass dies bereits geschehen ist, und es blieb weitgehend unbemerkt.
Cyberangriffe auf US-Krankenhäuser wurden mit einem Anstieg der Todesfälle durch Herzinfarkt im Jahr 2019 in Verbindung gebracht. Natürlich verursachten die Angreifer keine tödlichen kardialen Ereignisse bei Patienten, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die kritische Versorgung.
Diese Studie der University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 eine Datenpanne erlebt hatten. In den Krankenhäusern, die von einem Sicherheitsvorfall betroffen waren, dauerte es im Durchschnitt 2,7 Minuten länger, bis ein EKG bei Verdacht auf Herzinfarkt durchgeführt wurde; wahrscheinlich aufgrund von Verfahrensänderungen, neu implementierten Sicherheitsmaßnahmen und IT-Support-Problemen, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und in diesen Krankenhäusern gab es im Durchschnitt 36 zusätzliche Todesfälle pro 10.000 Herzinfarkte pro Jahr.
Das ist schockierend, und leider denke ich, dass es noch schlimmer wird, bevor es besser wird. Dies sollte eine deutliche Erinnerung daran sein, dass wir alle mehr tun müssen, um die Softwaresicherheit zu verbessern und sie in jedem Unternehmen in den Vordergrund zu stellen.
Weniger Stockbilder von "vermummten Hackern"
Wenn man "Hacker" in eine Bildersuche eingibt, stößt man unweigerlich auf Tausende von Bildern einer vermummten, gesichtslosen Gestalt, die auf einem Laptop herumtippt, oder auf eine ähnliche Gestalt mit einer Guy-Fawkes-Maske.
Dieses klischeehafte Bild eines Hackers ist wirklich ermüdend und, nun ja, es lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädels in der Sicherheitsbranche, und die negativen Assoziationen rund um das "Hacker"-Image erweisen allen einen schlechten Dienst.
Ob sich das in nächster Zeit ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Für den Moment ist es wichtig, sich daran zu erinnern, dass Sicherheit nicht beängstigend sein muss.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in Dunkles Lesen. Er wurde für die Syndikation hier aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die brisanten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber angesichts von mehr als fünf Milliarden gestohlenen sensiblen Datensätzen im Jahr 2019 dachte ich mir, dass es genauer wäre, vorherzusagen, was in der Cybersicherheit im Jahr 2020 oder sogar in der absehbaren Zukunft nicht passieren wird.
Ich habe mich mit meinem Mitbegründer Matias Madou zusammengesetzt und wir haben bei der Zusammenstellung dieser Liste ein wenig gelacht. Die Liste ist eher als lockerer Ausblick gedacht, aber sie regt zum Nachdenken über den langen Weg an, der vor jeder Organisation liegt, um sie gegen bösartige Cyberangriffe zu schützen.
Schauen wir nun in unsere Kristallkugel und verraten unsere Vorhersagen. Wir werden nicht sehen:
SQL-Injections aus aller Software ausgemerzt
Ich glaube, jeder Sicherheitsexperte auf dem Planeten hat auf den Tag gewartet, an dem er nicht mehr dazu verdammt ist, SQL-Injection-Bugs zu identifizieren, ad nauseam.
Traurigerweise warten wir seit mehr als zwanzig Jahren auf diesen Tag, und wir werden noch mindestens einen weiteren warten. Es ist die Schwachstelle, die wie eine Kakerlake bisher jede Taktik überlebt hat, um sie endgültig auszurotten.
Das ist gelinde gesagt frustrierend, da die Abhilfe schon seit ziemlich genau so langer Zeit bekannt ist. Die Priorisierung von Sicherheits-Best-Practices in jeder Phase der Software-Entwicklung (vor allem von Anfang an) ist jedoch nach wie vor zu gering und angesichts der enormen Zunahme der Code-Produktion seit der Entdeckung von SQL-Injection sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injection führen können? Nehmen Sie die Herausforderung hier an).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen, oder sind sie zu einem Leben der Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet: Ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie in einer Projektumgebung aufeinandertreffen, stehen sie auf entgegengesetzten Seiten und prallen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat schöne, funktionale Funktionen gebaut (was seine oberste Priorität ist), die auseinandergerissen werden, wenn Sicherheitslücken entdeckt werden. Der Software-Sicherheitsguru hat sein Baby in der Tat als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was oft die Bereitstellung verzögert.
In unserem aktuellen Zustand wird dies nicht behoben werden, bis Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Erstellung von sicherer Software. Das wird nicht als Standardprozess im Jahr 2020 passieren (und bei vielen Unternehmen noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich in Sachen Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten; einem, der Sicherheitsziele von Anfang an einschließt.
Ein Überangebot an Sicherheitsexperten
Im Jahr 2020, 2025, 2030... ist es fast garantiert, dass wir weltweit unterbesetzt sein werden, wenn es um Sicherheitskompetenz geht.
Einem Bericht des ISC(2) zufolge sind derzeit rund 2,93 Millionen Stellen im Bereich Cybersicherheit unbesetzt. Dies wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, in den nächsten Jahren zu unserer Rettung zu marschieren.
In der unmittelbaren Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehende Belegschaft weiterzubilden. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich mit bekannten, alten Sicherheitslücken (siehe Punkt 1 oben). Wenn wir dafür sorgen, dass sie keine kostbare Zeit und Mühe darauf verwenden müssen, diese allgemeinen Probleme zu beheben, haben sie mehr Bandbreite, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (im Moment umfassen diese wahrscheinlich Probleme mit APIs sowie die Erstellung von Tools, die in Entwicklungspipelines passen).
Weniger Code wird produziert
Die Welt wird in einem atemberaubenden Tempo digitalisiert, und die gesellschaftliche Nachfrage wird nicht nachlassen. Jedes Jahr werden ca. 111 Milliarden Codezeilen geschrieben, und diese Zahl wird immer größer und beängstigender werden (für die ohnehin schon überforderten AppSec-Teams).
Ein erhöhtes Codevolumen führt unweigerlich zu einer Zunahme potenzieller Sicherheitslücken, sodass alle Überlegungen, dass 2020 ein langsameres Jahr für die Softwareproduktion und Sicherheitsverletzungen sein wird, ungefähr so realistisch sind wie ein Einhornrennen beim Grand National.
Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Schwachstellen, und das bietet mehr Möglichkeiten für Angreifer, einen Weg zu finden, Daten zu stehlen.
Mindestens 5,3 Milliarden Datensätze wurden 2019 weltweit gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nah dran sein.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den Vereinigten Staaten im Jahresvergleich an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einer kleinen Ebbe und Flut zwischen den Jahren zu erkennen. Dies ist interessant, aber ein wichtiger Faktor, der hervorgehoben werden sollte, ist, dass 2009 ein starker Rückgang der gemeldeten Verstöße im Vergleich zu 2008 zu verzeichnen war. Die Anzahl der gestohlenen Datensätze stieg jedoch trotz weniger Verstöße deutlich an.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen und der Anzahl der gestohlenen Datensätze wider, mit einem enormen Höhepunkt im Jahr 2017. Die Anzahl der Angriffe ging 2018 tendenziell zurück, vielleicht aufgrund strengerer Sicherheitsmaßnahmen, aber die Anzahl der erlangten Datensätze war so hoch wie nie zuvor. Cyberangriffe werden immer ausgefeilter und umfangreicher und werden in absehbarer Zeit nicht verschwinden. Und weltweit werden wir im Jahr 2020 wahrscheinlich keinen Rückgang erleben, da die Unternehmen schnell mehr Software produzieren als je zuvor. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere und häufigere videobasierte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es, sich stundenlang Computer Based Training (CBT) Videos anzusehen. Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die sich allgemeinen Sicherheitsschulungsvideos widmet.
Äh, nö. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt der Einstieg in das Thema Sicherheit oft über eine Schulung zur Einhaltung von Vorschriften am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und die Ausbildung am Arbeitsplatz kann die allererste Begegnung mit Software-Sicherheit sein. Und es überrascht nicht, dass sie das oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen - und damit Schulungen nützlich sind - müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen - oder ein endloser Strom von langweiligen Videos - sind nicht der Weg zum Herzen eines Entwicklers und werden Schwachstellen nicht reduzieren.
Wenn Sie wollen, dass die Entwickler-Kohorte eine Chance hat, eine sicherheitsbewusste Verteidigungskraft gegen häufige Schwachstellen zu werden, lassen Sie sie mit echten Code-Beispielen arbeiten - die Art, mit der sie bei ihren täglichen Aufgaben zu tun haben. Machen Sie das Lernen mundgerecht, leicht ausbaufähig, und schaffen Sie Anreize, die Spaß machen. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und echte Fähigkeiten und Lösungen im gesamten Unternehmen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen inneren Sicherheits-Champion und verbreitet die Vorteile von sicherem Coding weit und breit.
Null Todesfälle durch einen cybersicherheitsrelevanten Vorfall
Okay, das ist eindeutig kein Grund zum Lachen. Ich habe schon oft gesagt, dass die Welt sich einfach nicht um Cybersicherheit kümmern wird, bis Menschen durch einen Cyberangriff sterben.
Das Problem ist, dass dies bereits geschehen ist, und es blieb weitgehend unbemerkt.
Cyberangriffe auf US-Krankenhäuser wurden mit einem Anstieg der Todesfälle durch Herzinfarkt im Jahr 2019 in Verbindung gebracht. Natürlich verursachten die Angreifer keine tödlichen kardialen Ereignisse bei Patienten, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die kritische Versorgung.
Diese Studie der University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 eine Datenpanne erlebt hatten. In den Krankenhäusern, die von einem Sicherheitsvorfall betroffen waren, dauerte es im Durchschnitt 2,7 Minuten länger, bis ein EKG bei Verdacht auf Herzinfarkt durchgeführt wurde; wahrscheinlich aufgrund von Verfahrensänderungen, neu implementierten Sicherheitsmaßnahmen und IT-Support-Problemen, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und in diesen Krankenhäusern gab es im Durchschnitt 36 zusätzliche Todesfälle pro 10.000 Herzinfarkte pro Jahr.
Das ist schockierend, und leider denke ich, dass es noch schlimmer wird, bevor es besser wird. Dies sollte eine deutliche Erinnerung daran sein, dass wir alle mehr tun müssen, um die Softwaresicherheit zu verbessern und sie in jedem Unternehmen in den Vordergrund zu stellen.
Weniger Stockbilder von "vermummten Hackern"
Wenn man "Hacker" in eine Bildersuche eingibt, stößt man unweigerlich auf Tausende von Bildern einer vermummten, gesichtslosen Gestalt, die auf einem Laptop herumtippt, oder auf eine ähnliche Gestalt mit einer Guy-Fawkes-Maske.
Dieses klischeehafte Bild eines Hackers ist wirklich ermüdend und, nun ja, es lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädels in der Sicherheitsbranche, und die negativen Assoziationen rund um das "Hacker"-Image erweisen allen einen schlechten Dienst.
Ob sich das in nächster Zeit ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Für den Moment ist es wichtig, sich daran zu erinnern, dass Sicherheit nicht beängstigend sein muss.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Aussagekräftige Daten über den Erfolg von Secure-by-Design-Initiativen zu finden, ist bekanntermaßen schwierig. CISOs stehen oft vor der Herausforderung, den Return on Investment (ROI) und den Geschäftswert von Sicherheitsprogrammen sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Organisation im Vergleich zu aktuellen Branchenstandards abschneidet. Die Nationale Cybersicherheitsstrategie des Präsidenten forderte die Beteiligten auf, "Sicherheit und Widerstandsfähigkeit durch Design" zu erreichen. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die nötigen Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl von qualitativen und quantitativen Daten vor, die aus verschiedenen Primärquellen stammen, darunter interne Daten von über 250.000 Entwicklern, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser gesammelten Daten wollen wir eine Vision des aktuellen Stands von Secure-by-Design-Initiativen in verschiedenen Branchen vermitteln. Der Bericht zeigt auf, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Schulungsprogramm auf die Minderung von Cybersecurity-Risiken haben kann und welches Potenzial zur Beseitigung von Schwachstellen in einer Codebasis besteht.
In diesem Monat des Cyber-Bewusstseins wird aus Bewusstsein Handeln
Lassen Sie diesen Oktober das Bewusstsein in Aktion treten. Machen Sie den Cyber Awareness Month für Ihre Entwickler zu einem denkwürdigen Ereignis mit großer Wirkung und hoher Beteiligung - geleitet vom Secure Code Warrior Professional Services Team.
Professionelle Dienstleistungen - Beschleunigen Sie mit Fachwissen
Das PSS-Team (Program Strategy Services) von Secure Code Warriorunterstützt Sie beim Aufbau, der Verbesserung und der Optimierung Ihres Programms für sichere Codierung. Ganz gleich, ob Sie neu anfangen oder Ihren Ansatz verfeinern möchten, unsere Experten bieten Ihnen maßgeschneiderte Beratung.
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Ressourcen für den Einstieg
Wird Vibe Coding Ihre Codebasis in eine Verbindungsparty verwandeln?
Vibe Coding ist wie eine College-Verbindungsparty, und AI ist das Herzstück aller Festivitäten, das Fass. Es macht eine Menge Spaß, sich auszutoben, kreativ zu werden und zu sehen, wohin die eigene Fantasie einen führen kann, aber nach ein paar Bierfässern ist das Trinken (oder die Verwendung von KI) in Maßen zweifellos die sicherere langfristige Lösung.
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
