Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.

Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.

Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.

Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.

Narren stürzen sich (auf die falsche Ausbildung)

Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.

Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:

"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".

Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.

Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.

Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen

Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.

Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.

Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.

Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.

Dynamisches Training: der Goldstandard

Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.

Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.

Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.

Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?

Das wird es sein:

• Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
• Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
• Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
• Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
• Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.

Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.