Analyse der Cybersicherheitsindustrie: Eine weitere wiederkehrende Schwachstelle, die wir beheben müssen

Veröffentlicht Nov 07, 2022
von Pieter Danhieux
tl;dr?

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Ressource anzeigen

Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.

Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten. 


Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher. 


In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.


Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.    

Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?

Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen. 


Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten. 


Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:

  • Suche nach jeder Schwachstelle, in jeder Sprache: Framework
  • Scannen mit Geschwindigkeit
  • Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit


Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.


Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn man sich in den frühen Phasen des SDLC stärker an eine sichere Kodierung und ein entsprechendes Bewusstsein halten würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel. 


Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen. 

Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?

Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich. 


Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.


Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme. 

Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?

Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.


Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen. 


Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt. 


Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Secure Code Warrior Ernennung zum Gartner® Cool Vendors™ des Jahres 2022

Veröffentlicht Nov 07, 2022
Von Pieter Danhieux

Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.

Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten. 


Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher. 


In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.


Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.    

Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?

Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen. 


Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten. 


Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:

  • Suche nach jeder Schwachstelle, in jeder Sprache: Framework
  • Scannen mit Geschwindigkeit
  • Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit


Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.


Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn man sich in den frühen Phasen des SDLC stärker an eine sichere Kodierung und ein entsprechendes Bewusstsein halten würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel. 


Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen. 

Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?

Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich. 


Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.


Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme. 

Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?

Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.


Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen. 


Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt. 


Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.

Geben Sie Ihre Daten ein, um den vollständigen Bericht aufzurufen.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Huch, Gänseblümchen