Die Entwickler, die die Software, Anwendungen und Programme erstellen, die das digitale Geschäft vorantreiben, sind zum Lebenselixier vieler Unternehmen geworden. Die meisten modernen Unternehmen wären ohne wettbewerbsfähige Anwendungen und Programme oder ohne 24-Stunden-Zugang zu ihren Websites und anderen Infrastrukturen nicht in der Lage, (gewinnbringend) zu arbeiten.

Und doch sind genau diese Berührungspunkte oft das Einfallstor, das Hacker und andere ruchlose Nutzer nutzen, um Informationen zu stehlen, Angriffe zu starten und andere kriminelle Aktivitäten wie Betrug und Ransomware zu starten. Der jüngste Verizon Data Breach Investigations Report zeigt, dass die Bedrohungen für Unternehmen und Organisationen heute gefährlicher und teurer sind als je zuvor in der Geschichte.

Erfolgreiche Angriffe sind nach wie vor weit verbreitet, obwohl die Ausgaben für Cybersicherheit in den meisten Unternehmen stark gestiegen sind und obwohl Bewegungen wie DevSecOps die Sicherheit auf die Entwickler verlagern, die heute das Herzstück des Unternehmens sind.

Die Entwickler sind sich der Bedeutung der Sicherheit bewusst und wollen überwiegend sicheren und qualitativ hochwertigen Code einsetzen, aber Software-Schwachstellen werden weiterhin ausgenutzt.

Und warum?

Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp. die Umfrage "The state of developer-driven security" durch. Wir befragten 1.200 Entwickler weltweit, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.

In der Umfrage wurde festgestellt, dass es keine klare Definition oder ein Verständnis dafür gibt, was sicheren Code ausmacht. Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.

Es überrascht nicht, dass das Schreiben von qualitativ hochwertigem Code für die Entwicklergemeinschaft oberste Priorität hat, aber auf die Frage nach sicherem Code gaben nur 29 % an, dass die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, vorrangig ist. Stattdessen assoziierten die Entwickler weniger sichere und weit weniger zuverlässige Praktiken mit der Erstellung von sicherem Code. Das Hinterfragen von bestehendem Code (37 %) und das Vertrauen auf externe Bibliotheken für sicheren Code (37 %) waren beispielsweise die wichtigsten Praktiken, die Entwickler mit sicherem Code verbanden. Die Wiederverwendung von Code, der bereits als sicher eingestuft wurde (32 %), war eine weitere beliebte Wahl. Die aktive Praxis des Schreibens von Code, der frei von Schwachstellen ist, kam auf Platz 6 mit 29 %, die dies als Top-Praxis bei der Erstellung von sicherem Code bezeichneten. Bei einer weiteren Befragung wurden Zeitmangel und das Fehlen eines kohärenten Ansatzes seitens des Managements als größte Hindernisse bei der Erstellung von sicherem Code genannt.

Das Vertrauen in bestehenden Code ist einer der Faktoren, die das Risiko erhöhen, dass Software mit ausnutzbaren Schwachstellen ausgeliefert wird. Damit Entwickler qualitativ hochwertigen und sicheren Code erstellen können, müssen sie sich mit der Frage auseinandersetzen, was sicheren Code ausmacht.

Es zeigt sich, dass es eine große Diskrepanz zwischen dem gibt, was Entwickler für sicheren Code halten, und dem, was sicherer Code tatsächlich ist.

Was können Organisationen tun, um die Situation zu verbessern?

Eine der wichtigsten Aussagen der Umfrage war, dass die Entwicklergemeinschaft insgesamt aus professionellen Menschen besteht, denen ihre Arbeit wichtig ist. Das Schreiben von qualitativ hochwertigem Code war für sie als Gruppe von überwältigender Bedeutung. Das Problem ist, dass die Unternehmen, für die sie arbeiten, in vielen Fällen nicht erkannt haben, welche Best Practices für die Erstellung von sicherem Code erforderlich sind, und nicht genügend Ressourcen in die Schulung oder Befähigung ihrer Entwickler zur Erreichung dieser Ziele investiert haben.

Tatsächlich gaben die meisten Entwickler an, dass ihre Unternehmen nicht einmal eine klare Definition dafür haben, was sicherer Code ist. Eines der besorgniserregendsten Beispiele hierfür war, dass 28 % der Umfrageteilnehmer angaben, dass ihr Unternehmen Code als sicher ansieht, wenn kein Verstoß gemeldet wird, sobald eine Anwendung oder ein Programm in einer Produktionsumgebung bereitgestellt oder der Öffentlichkeit zugänglich gemacht wurde.

Es versteht sich wahrscheinlich von selbst, aber in der heutigen komplexen Bedrohungslandschaft führt das bloße Hoffen auf gute Ergebnisse, ohne tatsächlich darauf hinzuarbeiten, zu vorhersehbaren Ergebnissen: noch mehr Sicherheitsverletzungen.

Glücklicherweise ist dies eine Situation, in der es relativ einfach ist, zumindest mit der Behebung des Problems zu beginnen und auf das Ziel eines sicheren Codes hinzuarbeiten. Der erste und wohl wichtigste Schritt besteht für Unternehmen darin, zu definieren, was sie als sicheren Code betrachten. Und alles, was außerhalb dieser Definition liegt, muss als nicht sicher eingestuft werden.

Sichere Kodierung sollte definiert werden als die Praxis, dass qualifizierte Entwickler von Beginn des SDLC an einen Code schreiben, der frei von Schwachstellen ist. Erst wenn diese Praxis definiert ist, kann die Entwicklergemeinschaft auf dieses Ziel hinarbeiten.

Das Ziel eines sicheren Codes in die Tat umsetzen

Sobald die Definition von sicherem Code feststeht, müssen die Unternehmen bereit sein, diese Bemühungen und ihre Entwickler zu unterstützen, die das Ziel der Implementierung von Praktiken für absolut sicheren Code verfolgen. Diese Unterstützung ist von entscheidender Bedeutung. Ohne sie wird die Definition von sicherem Code in Ihrem Unternehmen zwar wichtig sein, aber kaum mehr als ein Papiertiger bleiben. Um erfolgreich zu sein, müssen sichere Kodierungspraktiken von der Geschäftsleitung gebilligt und mit der entsprechenden Aufmerksamkeit, Autorität und dem entsprechenden Budget ausgestattet werden.

Dies kann neue Benchmarking-Ziele für Entwickler erfordern, die bisher an der Geschwindigkeit ihrer Programmierung gemessen wurden. Tatsächlich gaben 37 % der in der Umfrage befragten Entwickler an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, sie zu beheben oder von Anfang an richtig zu kodieren.1 Zunächst könnte dies bedeuten, dass die Fristen verlängert werden, um den Entwicklern mehr Zeit für die korrekte Kodierung zu geben. Wenn die Möglichkeit einer Sicherheitslücke ausgeschlossen wird, können Hunderte von Stunden und möglicherweise Millionen an entgangenen Einnahmen, Geldstrafen und Aufräumkosten eingespart werden.

Die Entwickler benötigen auch relevante, praktische Schulungen, vor allem in Bezug auf spezifische Schwachstellen, die sie wahrscheinlich antreffen werden, und Hilfe beim Erlernen der Identifizierung und Behebung von Code-Schwachstellen. Dies gilt insbesondere vor dem Hintergrund, dass 36 % der Umfrageteilnehmer angaben, sie wollten Schwachstellen in ihrem Code beseitigen, verfügten aber nicht über die entsprechenden Fähigkeiten oder Kenntnisse.

37 % der befragten Entwickler gaben an, dass sie bekannte Schwachstellen in ihrem Code belassen, weil sie aufgrund knapper Fristen nicht die nötige Zeit haben, um sie zu beheben oder von Anfang an richtig zu programmieren.

Sind Sie an weiteren Informationen zu diesem Thema interessiert?

Weißbuch: Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Software-Sicherheit.
Bericht: Umfrage zum Stand der entwicklergesteuerten Sicherheit, 2022.