Bewährte Verfahren für die Cybersicherheit sind seit mehr als einem Jahrzehnt ein heißes Thema, das auf Regierungsebene in den meisten Regionen der Welt häufig diskutiert wird. Cyberattacken sind im Grunde eine tägliche Realität, und jedes Unternehmen, das wertvolle private Daten online speichert, ist ein potenzielles Ziel. Allein in Deutschland schätzt das Bundesministerium für Bildung und Forschung, dass 96 Prozent aller kleinen und mittleren Unternehmen bereits einen IT-Sicherheitsvorfall erlebt haben. Der gleiche Bericht unterstreicht den dringenden Bedarf an Cybersecurity-Forschung, -Gesetzgebung und -Bewusstsein und fordert definitiv eine solidere Sicherheitsausbildung in Informatik und IT-bezogenen Fächern.

Mit der Einführung von GDPR sowie einer überarbeiteten Strategie nach einem mehrstufigen Angriff, bei dem die sensiblen Daten vieler Persönlichkeiten des öffentlichen Lebens sowie Server der deutschen Bundesregierung offengelegt wurden, ist es klar, dass das Bewusstsein für Cybersicherheit und entsprechende Maßnahmen für Führungskräfte in der DACH-Region an erster Stelle stehen. Der Hack Ende 2018 wurde von einem 20-jährigen Studenten mit relativ geringen Fähigkeiten durchgeführt, wobei der Hauptzugang zu hochsensiblen Informationen durch einfaches Erraten von Passwörtern möglich war. Dies war zwar ein äußerst besorgniserregender Authentifizierungs-Exploit, machte aber auch deutlich, dass ein weitaus besseres Sicherheitsbewusstsein auf Regierungs-, Unternehmens- und gesellschaftlicher Ebene erforderlich ist. In einem Bericht aus dem Jahr 2019 wurde hervorgehoben, dass Deutschland in Bezug auf Initiativen zur Cybersicherheitsverteidigung ins Hintertreffen geraten ist und sich auf die Gesetzgebung als Haupttaktik verlässt. Mit dem Aufkommen von DevSecOps als ideale Entwicklungsmethodik haben viele Unternehmen jedoch den Bedarf an praktischen Schulungen, Secure-by-Design-Softwareerstellung und unternehmensweiten Programmen zur Sensibilisierung für Sicherheit erkannt.

Der Software-Sicherheits-Herzschlag in DACH

Organisationen wie OWASP und MITRE veröffentlichen datengeprüfte Ranglisten der am häufigsten auftretenden Sicherheitslücken. Über alle Sprachen hinweg rangiert die SQL-Injection auf Platz eins. Obwohl sie schon Jahrzehnte alt ist, ist sie ein weit verbreiteter Fehler, der oft mit katastrophalen Folgen ausgenutzt wird.

Die Schweizer BPC-Bankensoftware SmartVista wurde vom SwissCERT auf eine SQLi-Schwachstelle aufmerksam gemacht, die jedoch monatelang ungepatcht blieb, obwohl sie sensible Kundendaten, einschließlich Kreditkartennummern, preisgeben könnte. SQL-Injektion kann und wird zu gefährlichen Sicherheitsverletzungen führen, so wie im Jahr 2017, als mehrere Regierungsbehörden und Universitäten in den USA und Großbritannien betroffen waren. Viele dieser Vorfälle werden durch laxe Eingabevalidierungsprozesse verursacht, die es einem Angreifer ermöglichen, bösartigen Code über das Frontend einer Anwendung einzufügen. Eine weitere häufige Quelle für Schwachstellen ist die Verwendung von unsicherem Herstellercode, der nicht auf Sicherheitslücken geprüft wird, so dass Fehler in eine zuvor gescannte und freigegebene Produktionsumgebung eingeschleust werden. Keiner dieser Zugangspunkte ist spezifisch für die DACH-Region, vielmehr handelt es sich um globale Beispiele für schlechte Sicherheitspraktiken, die nicht fortbestehen können, wenn die Welt mehr Code produziert.

Es ist zwingend notwendig, Probleme zu patchen, sobald sie entdeckt werden, und die Entscheidung von SmartVista, die Sache hinauszuzögern, hätte eine Katastrophe sein können. Auch wenn es in der DACH-Region bereits einige Sicherheitsverletzungen gegeben hat, könnten gezieltere Richtlinien und Unterstützung für Sicherheitsbewusstsein und Schulungen verhindern, dass potenzielle Probleme auf organisatorischer Ebene aus dem Ruder laufen.

Nicht alle Schulungen für sicheren Code sind gleich.

Viele Cybersicherheitsrichtlinien auf der ganzen Welt werden immer umfassender, bleiben aber recht unspezifisch, wenn es darum geht, ein effektives Sicherheitstraining zu umreißen. Die NIS-Richtlinie in der EU enthält zwar die Forderung nach "Bewusstseinsbildung, Schulung und Ausbildung" auf nationaler Ebene, aber eine überstürzte Einführung einer Schulungslösung führt möglicherweise nicht zum gewünschten Ergebnis einer spürbaren Risikominderung, wenn Schlüsselelemente fehlen, die Entwickler und organisatorische Veränderungen vorantreiben.

Schulungslösungen variieren, und die Schulung muss spezifisch für die tägliche Arbeit des Entwicklers sein (einschließlich der Möglichkeit, in der bevorzugten Sprache und dem bevorzugten Framework zu lernen) sowie ansprechend und im Laufe der Zeit messbar bleiben.

Statische Schulungslösungen, wie z. B. computergestützte Videotrainings, sind oft zu allgemein gehalten und werden nur selten auf ihren Erfolg bei der Förderung des Bewusstseins und der Fähigkeit, das Eindringen von Schwachstellen in den Code während des Schreibens zu verhindern, überprüft oder bewertet. Dynamisches Training hingegen ist entscheidend, um Entwickler mit kontextbezogenen Beispielen weiterzubilden und darüber hinaus Metriken bereitzustellen, die den Prozess der Schadensbegrenzung beeinflussen. Es wird häufig aktualisiert, fördert ein hohes Maß an Wissensspeicherung und ist Teil des Aufbaus sicherheitsbewusster Entwickler, die zu einer positiven Sicherheitskultur an ihrem Arbeitsplatz beitragen.

Secure Code Warrior Datenpunkte von DACH-Piloten:

Secure Code Warrior Ema Rimeike, Sales Director (MSc in Cyber Security), hat eng mit Unternehmen in der DACH-Region zusammengearbeitet und Pilotprogramme für Entwickler durchgeführt, um die internen Kompetenzen der Entwickler im Bereich Secure Coding, ihr Engagement für Best Practices im Bereich Sicherheit sowie die allgemeine Sicherheitskultur des Unternehmens zu ermitteln. Durch den Einsatz von gamifizierten, dynamischen Secure-Code-Trainings zeigen ihre wichtigsten Ergebnisse eine vielversprechende Zukunft auf, wenn Entwicklern das Wissen und die Werkzeuge zur Verfügung gestellt werden, die eine erfolgreiche Reduzierung von Schwachstellen von Beginn des SDLC an fördern.

Während ihrer Pilotprogramme sammelte sie Statistiken, die auf einer durchschnittlichen Verweildauer von 90 Minuten pro Benutzer auf der Plattform Secure Code Warrior (SCW) basierten, in denen sie 15 sichere Coding Challenges(mundgerechte, gamifizierte und selbstgesteuerte Lektionen) spielten:

Die Benutzer brauchten durchschnittlich 5,5 Minuten, um eine Herausforderung abzuschließen, im Vergleich zu durchschnittlich 3 Minuten bei anderen globalen SCW-Piloten.

• Genauigkeit vs. Konfidenz: Die DACH-Piloten verzeichneten einen durchschnittlichen Prozentsatz von 88-92 % für das Vertrauen in ihre Antworten auf die Herausforderungen, doch die Genauigkeit dieser Antworten lag zwischen 53-66 %
• Über 75% der befragten Teilnehmer bevorzugen gamifizierte - oder dynamische - Trainingsmethoden, im Gegensatz zu statischen Ansätzen wie Computer Based Training (CBT).
• Zu den am häufigsten festgestellten Schwachstellen gehörten Injektionsfehler, falsche Sicherheitskonfiguration, Cross-Site-Scripting (XSS), unsachgemäße Plattformnutzung, Zugriffskontrolle, Authentifizierung, Speicherkorruption, Cross-Site-Request-Forgery, unzureichender Schutz der Transportschicht sowie nicht validierte Um- und Weiterleitungen.

Es ist kein Geheimnis, dass im Allgemeinen eine starke Arbeitsmoral und der Fokus auf Präzision von vielen in der DACH-Region geschätzt wird, und die Entwickler, die das Pilotprogramm ausprobieren, sind keine Ausnahme. Diese Datenpunkte sprechen für ihre Unvertrautheit mit dieser Art von Training, aber auch für den Wunsch, weiter zu spielen, ihre Punktzahl zu verbessern und die verfügbare "Tipp"-Funktion nicht zu nutzen. Ihr Wunsch, zu lernen und sich zu verbessern, ist offensichtlich, aber es zeigt auch, dass mehr getan werden muss, um effektive Schulungen und ein Bewusstsein innerhalb der Organisation selbst zu implementieren.

Großartige Schulungen, die Risiken reduzieren und Schwachstellen vereiteln, sind keine einmalige Übung, und es geht um mehr als nur um Compliance. Manager und AppSec-Mitarbeiter müssen sich bemühen, ein Security-Awareness-Programm mit einer Strategie und Unterstützung auszurollen, das die zentralen Sicherheitsziele widerspiegelt und darauf abzielt, diese langfristig zu erhalten. Dies ist in der Tat das Rückgrat eines erfolgreichen DevSecOps-Prozesses mit sicherheitsbewussten Entwicklern.

Was sagt ein Pilotprogramm über eine Organisation aus?

Die Pilotprogramme vonSecure Code Warrior sind ein unglaublich wertvolles Werkzeug, um Unternehmen eine Momentaufnahme ihres aktuellen Sicherheitszustands (in der Regel zwischen 65-75 %) sowie Bereiche für sofortige Verbesserungen zu geben. Sie offenbaren:

• Klarheit darüber, welche Schwachstellen vorrangig angegangen werden müssen, sowie darüber, ob diese Anweisung für ein bestimmtes Team, eine Geschäftseinheit oder eine Programmiersprache gelten soll
• Eine genaue, umfassendere Information über die Cybersecurity-Risikofaktoren innerhalb ihres SDLC, die auch den menschlichen Faktor der Softwareentwicklung einschließt.
• Durch den Einsatz der SCW-Plattform können Unternehmen das potenzielle Ergebnis von Pen-Tests vorhersagen und haben die Möglichkeit, diese Risiken im Vorfeld zu minimieren, indem sie Teams vorbereiten, bevor sie überhaupt mit einem bestimmten Projekt betraut werden.

In Unternehmen, die mit der Einführung umfassender und effektiver Sicherheitsprogramme begonnen haben, werden in der Regel 1-1,5 Stunden pro Woche an professioneller Weiterbildung auf Managementebene genehmigt, um ihre Entwickler bei der Verbesserung ihrer Kenntnisse im Bereich der sicheren Programmierung zu unterstützen. Wir stellen jedoch fest, dass sich die Unternehmen von dem Fokus "Zeitaufwand für die Plattform" wegbewegen hin zu der Frage, "welche Softwareentwicklungsteams das höchste und welches das geringste Risiko für das Unternehmen darstellen". Dies ist eng verknüpft mit formalisierten Zertifizierungen, der Entdeckung von Sicherheits-Champions und Mentoring-Programmen für beste Ergebnisse. Die Zuteilung von Zeit sowie eine konstruktive und positive assessment ist der absolute Schlüssel, um sicherheitsbewusste Entwickler zu schaffen, die nicht nur die Sicherheit mögen, sondern auch das Risiko für das Unternehmen messbar reduzieren.

Wie nutzen Organisationen bereits Secure Code Warrior?

Mehrere Unternehmen nutzen bereits Secure Code Warrior , um ein Bewusstsein zu schaffen, die Fähigkeiten von Entwicklern auszubauen und eine positive Sicherheitskultur zu skalieren.

In einem Anwendungsfall nutzte beispielsweise ein Team, das auf der Plattform trainierte, den SCW, um seine Sicherheitsstärken und -schwächen aufzudecken:  

Maßnahmen für Entwickler: Die Entwickler konnten ihre eigenen Ergebnisse sehen, die ihnen die Bereiche aufzeigten, auf die sie sich konzentrieren sollten, und wurden in die Lage versetzt, das Training selbst zu steuern, um bestimmte Schwachstellen oder Wissenslücken zu entschärfen, die ihnen bei zukünftigen Softwareentwicklungen helfen werden.

Management-Maßnahmen: Sie analysierten die allgemeinen Stärken und Schwächen auf Teamebene und waren in der Lage, einen gamifizierten Ansatz vorzuschreiben, der die spezifischen Problembereiche anspricht. Dadurch wurde ein zweiseitiger Bildungsweg geschaffen, der schnell relevantes Wissen aufbaut.

Das Ergebnis: Sobald das Pentesting auf Teamebene durchgeführt wurde, sind alle Schwachstellen sichtbar, und der Vergleich früherer Ergebnisse machte es einfach, zu überprüfen, ob die Schulung bei der Reduzierung häufiger Sicherheitsfehler wirksam war.

Dies führt zurück zu den Anfangsphasen der Softwareentwicklung, in denen die Vorab-Schulung von Teamzielen der kontinuierlichen Verbesserung und die Einführung von Best Practices für die Sicherheit zu Beginn effektiv sein kann, einfach auszurollen ist und Zeit über den gesamten Entwicklungsbereich spart.

DevSecOps-Projektteams

In einer idealen DevSecOps-Umgebung sind mehrere Geschäftsbereiche in einem Projektteam vertreten, um über zentrale Ergebnisse zu entscheiden und diese zu liefern, zu denen auch Best Practices für die Sicherheit gehören.

In Bezug auf die Recherche und Planung vor Projektbeginn kann die SCW-Plattform die Sicherheitskompetenzen des vorgeschlagenen Entwicklungsteams bewerten, bevor es mit der Arbeit beginnt, und mögliche Pentesting-Ergebnisse und sicherheitsbezogene Verzögerungen im SDLC mit mehr als genug Zeit für eine angemessene Vorbereitung vorhersagen. Für das Team kann eine auf den Projektcode und die Projektstruktur abgestimmte Schulung erstellt werden, einschließlich eines assessment/Zertifizierungsprozesses, der die allgemeinen Fähigkeiten des Sicherheitsbewusstseins überprüft und eine voreingestellte Erfolgsquote erfordert, bevor das Team für die Projektleistungen freigestellt wird.

Dieser Ansatz bietet einen immensen geschäftlichen Nutzen, da er die Kosten für die Behebung von Schwachstellen senkt, Sicherheitsrisiken mindert, Zeit beim Pentesting spart, die Kosten für teure Bounty-Programme reduziert und die Entwicklungskohorte auf eine zentralisierte, nachhaltige, skalierbare und einheitliche Weise weiterbildet.

Fazit:

Der Druck auf Unternehmen steigt, Sicherheit zu priorisieren, unsere Daten zu schützen und die immer strengeren Vorschriften weltweit einzuhalten, aber insbesondere für Organisationen, die in der EU unter den strengen GDPR-Richtlinien handeln.

Für Unternehmen in der DACH-Region ist klar, dass sie praktikable Sicherheitswege beschreiten, indem sie Schulungsaufwand und -ergebnisse mit realen Aktivitäten zur Risikovermeidung verbinden; dazu gehört auch die Reduzierung häufiger Schwachstellen in dem von ihnen produzierten Code.

Um einen wirklich quantifizierbaren Business Case für eine Erhöhung der Sicherheitsbudgets, des Sicherheitsbewusstseins und der allgemeinen Compliance aufzubauen, müssen die Schulungen für die Entwickler ansprechend, konsistent, anpassbar und messbar sein. Die Nachverfolgung des aktuellen Stands der Fähigkeiten, um das richtige Training zuzuschneiden, die Entdeckung von Sicherheits-Champions und die Messung der Teamleistung im Laufe der Zeit sind alles wichtige Initiativen, und viele vorausschauende Unternehmen in der DACH-Region erkennen die Vorteile nach einem umfassenden SCW-Pilotprojekt.

Viele Unternehmen kämpfen mit zu allgemein gehaltenen Metriken zur Sicherheitsleistung. Mit einer längerfristigen, konsequenten Nutzung der SCW-Plattform könnten Unternehmen präzise Bewertungen, courses und Managementmetriken nutzen, um zu entdecken:

• Verringerung der Schwachstellen im Laufe der Zeit
• Reduzierung der Kosten für die Behebung von Sicherheitslücken im Laufe der Zeit
• Entwicklung von individuellen und Teamfähigkeiten im Laufe der Zeit
• Kosten- und Zeitersparnis beim Pentest

Welche Metriken verfolgt Ihr Unternehmen derzeit, wie oft werden sie neu gemessen und haben sie im Laufe der Zeit deutliche Verbesserungen gezeigt? Wie integriert sind Ihre Schulungsinitiativen in Bezug auf den bestehenden Arbeitsablauf der Entwickler?

Der dynamische, spielerische und umfassende Ansatz von SCW wird als ein entscheidender Teil des Secure Software Development Life Cycle-Workflows angesehen. Unternehmen statten ihre Entwickler mit den richtigen Tools und Schulungen aus und betten SCW als Teil ihres SSDLC-Workflows ein.