Mit Blick auf das Jahr 2025 - nach einem aufregenden und herausfordernden Jahr - wird die Überschneidung von KI und Softwareentwicklung die Entwicklergemeinschaft weiterhin auf sinnvolle Weise prägen. 

Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können:
‍

Die KI-Gleichung neu schreiben: Nicht KI statt Entwickler, sondern KI + Entwickler

"Da Unternehmen im Jahr 2025 zu drastischen Kostensenkungsmaßnahmen gezwungen sind, würde es niemanden überraschen, wenn Entwickler durch KI-Tools ersetzt würden. Aber wie schon bei der Einführung der generativen KI und auch jetzt, nach Jahren von Updates und weiteren, ist sie immer noch kein sicherer, autonomer Produktivitätsfaktor, insbesondere bei der Erstellung von Code. KI ist eine hochgradig disruptive Technologie mit vielen erstaunlichen Anwendungen und Anwendungsfällen, aber sie ist kein ausreichender Ersatz für qualifizierte menschliche Entwickler. Ich stimme der Vorhersage von Forrester zu, dass diese Verschiebung in Richtung KI/Mensch-Ersatz im Jahr 2025 wahrscheinlich scheitern wird, insbesondere auf lange Sicht. Ich denke, dass die Kombination aus KI und Entwicklern dies eher erreichen wird als KI allein."

‍

KI bietet eine bunte Mischung aus Risiken und Chancen

"Im Jahr 2025 werden wir sehen, wie neue Risikofälle durch KI-generierten Code entstehen, einschließlich der negativen Auswirkungen bekannter Probleme wie Halluzinationen, vergiftete Bibliotheken und Exploits, die die Software-Lieferkette betreffen. Darüber hinaus wird KI immer häufiger dazu verwendet werden, Schwachstellen im Code zu finden und Exploits dafür zu schreiben, wie das Project Zero von Google gerade gezeigt hat. Im Gegensatz dazu denke ich, dass wir zusätzlich einen ersten Reifegrad erreichen werden, bei dem Unternehmensentwickler in der Lage sind, diese Tools bei ihrer Arbeit zu nutzen, ohne ein zu großes zusätzliches Risiko einzugehen. Dies wäre jedoch die Ausnahme, nicht die Regel, und würde davon abhängen, dass das Unternehmen das Entwicklerrisiko aktiv misst und sein Sicherheitsprogramm entsprechend anpasst. In dem sich rasch entwickelnden Bedrohungsumfeld, das das Jahr 2025 mit Sicherheit mit sich bringen wird, werden es die qualifizierten, sicherheitsbewussten Entwickler mit bewährten KI-Codierungstools sein, die in der Lage sein werden, Code schneller zu produzieren, während Entwickler mit geringem Sicherheitsbewusstsein und allgemeinen Fähigkeiten nur mehr Probleme einbringen werden, und das mit größerer Geschwindigkeit." 

‍

Aus dem [AI]-Schatten heraustreten

"Die Gesetzgebung im Bereich der KI ändert sich schnell, um mit den häufigen Fortschritten der Technologie und ihrer Verbreitung Schritt zu halten. Im Jahr 2025 müssen Sicherheitsverantwortliche sicherstellen, dass sie auf die Einhaltung potenzieller Richtlinien vorbereitet sind. Eine Kombination der folgenden Punkte - das Verständnis der Natur der "Schatten-KI" und die Sicherstellung, dass sie im Unternehmen nicht verwendet wird, gefolgt von der strikten Verwendung von nur genehmigten, überprüften Tools, die auf Unternehmenssystemen installiert werden - wird sich für Unternehmen im kommenden Jahr als äußerst wichtig erweisen. Dies wird zu einer größeren assessment der Entwicklungskohorte führen, um zu verstehen, wie sie am besten unterstützt werden müssen, um ihre Sicherheitsfähigkeiten kontinuierlich auszubauen und auf alle Aspekte ihrer Arbeit anzuwenden."

‍

Die Sicherheit von KI-Tools wird ein wichtiger Maßstab für Entwickler sein

"Im Moment herrscht auf dem Markt für LLM-gestützte Coding-Tools ein freier Wettbewerb. Ständig kommen neue hinzu, die sich mit besserer Leistung, Sicherheit und Produktivität rühmen. Auf dem Weg ins Jahr 2025 brauchen wir einen Standard, mit dem jedes KI-Tool verglichen und hinsichtlich seiner Sicherheit bewertet werden kann. Dazu gehören auch die Codierungsfähigkeiten, d. h. die Fähigkeit, Code mit guten, sicheren Codierungsmustern zu erzeugen, die von Bedrohungsakteuren nicht ausgenutzt werden können." 

‍

KI wird den Einstieg für Nachwuchsentwickler erschweren

"Für Entwickler gibt es mehr Einstiegshürden als je zuvor. Mit hybriden und verteilten Belegschaften und dem erforderlichen Qualifikationsniveau für Einstiegspositionen wird die Messlatte für Nachwuchsentwickler jedes Jahr höher gelegt. Im Jahr 2025 werden Arbeitgeber von Nachwuchsentwicklern erwarten, dass sie bereits zu Beginn ihrer Tätigkeit über die Fähigkeiten und das Wissen verfügen, um KI-Tools sicher in ihre Arbeitsabläufe zu integrieren und zu optimieren - anstatt Zeit für eine Schulung am Arbeitsplatz aufzuwenden. Innerhalb des nächsten Jahres werden Entwickler, die nicht lernen, wie sie KI-Tools in ihrem Entwicklungs-Workflow nutzen können, mit erheblichen Konsequenzen für ihre eigene Karriereentwicklung konfrontiert sein - und sie werden Schwierigkeiten haben, sich einen Arbeitsplatz zu sichern. Sie riskieren, dass ihre 'Lizenz zum Coden' beeinträchtigt wird, was ihre Teilnahme an komplexeren Projekten verhindert, da sichere KI-Kenntnisse letztendlich der Schlüssel sein werden."

‍

Die Zeit wird Organisationen daran hindern, Secure by Design zu erreichen

"Entwickler brauchen ausreichend Zeit und Ressourcen, um sich mit den richtigen Tools und Praktiken vertraut zu machen, um "Secure by Design" zu erreichen. Wenn Unternehmen nicht die Zustimmung der Sicherheits- und Technikverantwortlichen erhalten, werden ihre Fortschritte behindert - oder ganz zum Stillstand gebracht. Wenn Unternehmen versuchen, Kosten zu senken oder Ressourcen einzuschränken, geben sie oft sofortigen Abhilfemaßnahmen den Vorrang vor langfristigen Lösungen und konzentrieren sich auf vielseitige Abhilfetools, die einige Dinge nur "okay" und alles andere "mittelmäßig" machen. Im Jahr 2025 wird dieses Ungleichgewicht zu einer größeren Diskrepanz zwischen Unternehmen führen, die der sicheren Softwareentwicklung Priorität einräumen, und solchen, die nur eine schnelle Lösung wollen, um mit der sich verändernden Landschaft Schritt zu halten."

‍

Audits zur Sicherheit der Lieferkette spielen eine entscheidende Rolle bei der Minderung globaler Risiken

"Alle Outsourcing-/Drittanbieter werden zunehmend unter die Lupe genommen. Man kann intern das beste Sicherheitsprogramm haben, aber für Unternehmen, an die man auslagert, kann der gesamte Sicherheitsrahmen kompromittiert werden, wenn sie nicht Secure by Design praktizieren. Infolgedessen werden Unternehmen ihre Outsourcing-Bemühungen einer eingehenden Prüfung unterziehen und Druck auf die Unternehmensleiter ausüben, damit diese strenge Sicherheits- und Branchenrichtlinien einhalten. Letztendlich hängt der Erfolg von Sicherheitsteams von einer ganzheitlichen, 360°-Perspektive ab - einschließlich eines einheitlichen Ansatzes für das gesamte Unternehmen und alle externen Partner."

‍

KI wird bei der "Durchdringung des Lärms" eine wichtige Rolle spielen  

"Entwicklungsteams kämpfen mit False-Positive-Raten bei Code-Schwachstellen-Scannern. Wie können sie sicher sein, dass die ihnen zugewiesenen Schwachstellen tatsächlich ein Sicherheitsrisiko darstellen? Im Jahr 2025 wird KI ein entscheidendes Werkzeug sein, um Entwicklern bei der Codebereinigung zu helfen, indem sie ein tieferes Verständnis des Codes selbst ermöglicht. Durch den Einsatz von maschinellem Lernen kann KI reale Bedrohungen auf der Grundlage des Kontexts besser priorisieren und den Zeitaufwand für die Verbesserung der Genauigkeit von Sicherheitswarnungen verringern. So können sich die Teams auf die Schwachstellen konzentrieren, die wirklich ein Risiko darstellen, was die Gesamteffizienz steigert und schnellere, sicherere Entwicklungszyklen ermöglicht."

‍

Benchmarking wird die Lösung für Unternehmen sein, um die Secure-by-Design-Ziele zu erreichen

"Das Fehlen eines Sicherheits-Benchmarks wird sich für Unternehmen im Jahr 2025 als nachteilig erweisen, da sie keine klare Grundlage für die Messung ihrer Fortschritte bei der Einhaltung der Secure by Design-Standards haben werden. Ohne ein Benchmarking-System, mit dem bewertet werden kann, wie Teams sichere Kodierungspraktiken einhalten, laufen diese Organisationen Gefahr, unbeabsichtigt Schwachstellen einzuführen, die zu einem größeren Sicherheitsverstoß führen könnten. Und wenn es doch zu einem Sicherheitsverstoß kommt, haben sie wahrscheinlich keine Zeit, ein Benchmarking-System zu implementieren, sondern sind gezwungen, ihre SBD-Initiativen zu beschleunigen, ohne zuvor die Sicherheitsreife ihrer Entwicklerteams zu bewerten, was ihre Organisation letztlich noch größeren Risiken aussetzt."

‍

Technische Verschuldung auf Kosten von KI-generiertem Code

"Es ist kein Geheimnis, dass die Branche bereits ein massives Problem mit technischen Schulden hat - und zwar mit Code, der bereits geschrieben worden ist. Mit dem zunehmenden blinden Vertrauen der Entwickler in inhärent unsicheren, KI-generierten Code und der eingeschränkten Kontrolle durch die Geschäftsleitung wird es nur noch schlimmer werden. Es ist gut möglich, dass diese Dynamik dazu führt, dass die Zahl der gemeldeten CVEs im kommenden Jahr um das 10-fache ansteigt."

‍

Für ein erfolgreiches Jahr 2025 müssen Unternehmen bereit sein, KI verantwortungsbewusst und sicher einzuführen und ihre Entwicklungsteams entsprechend zu schulen und in die Risikominderung zu investieren. Nächstes Jahr jährt sich das Secure-by-Design-Versprechen der CISA zum ersten Mal. Die Marken, die ihren Wettbewerbsvorteil behalten werden, sind diejenigen, die ihrem sicheren Entwicklungsansatz Priorität einräumen, um Risiken im Zusammenhang mit KI, Sicherheitsbedenken Dritter und weiteren aufkommenden Bedrohungen bestmöglich zu beseitigen.

Ein proaktiver Ansatz zur Sicherung Ihrer Software erfordert, dass Sie mit den neuesten Standards und Compliance-Anforderungen Schritt halten. Schließlich ist die Cybersicherheitslandschaft mit neuen Bedrohungen und Schwachstellen ständig in Bewegung, insbesondere wenn neue Technologien auftauchen. Nie war dies mehr der Fall als heute, wo wir uns gemeinsam an einem Wendepunkt der KI befinden, an dem jeden Tag neue Entwicklungen und Anwendungsfälle aufzutauchen scheinen. 

Um diesen Herausforderungen zu begegnen, hat die OWASP Foundation kürzlich eine aktualisierte Version der OWASP Top 10 for Large Language Model (LLM) Applications veröffentlicht, die Entwickler, Architekten und andere Mitwirkende an der Softwarebereitstellung über die potenziellen Risiken beim Einsatz von LLMs und generativen KI-Anwendungen informieren soll. Und wir von Secure Code Warrior freuen uns, Ihnen mitteilen zu können, dass die Änderungen und Aktualisierungen in dieser neuesten Version bereits implementiert und in unserem sicheren Code learning platform verfügbar sind. Mit diesen neu verfügbaren und aktualisierten Materialien können alle unsere Nutzer an der Spitze der Risikominderung beim Einsatz von LLMs bleiben.

Was ist neu in diesem Update?

OWASP hat zwei Punkte aus seiner vorherigen Top 10 entfernt:

• Unsicheres Plugin-Design - dies bezieht sich darauf, wie LLMs mit Plugins interagieren und wie Plugins mit externen Speichern oder Diensten interagieren. 
• Modelldiebstahl - bezieht sich auf die unbefugte Vervielfältigung oder Übernahme von Modellen für maschinelles Lernen oder KI-Systemen.

In Übereinstimmung mit früheren Versionen der OWASP Top 10 hatte Secure Code Warrior Richtlinien zu diesen Schwachstellen als Teil unseres LLM Top 10 Kurses. Diese Richtlinien, die leicht verdauliche Informationen über Schwachstellen und Sicherheitskonzepte in einem leicht verständlichen, lesbaren Format bieten, wurden inzwischen aus dem Lehrplan des Kurses entfernt. Die Leitlinien sind jedoch weiterhin in Explore verfügbar, zusammen mit allen anderen Lernmaterialien, die wir anbieten. 

OWASP hat seine Top 10 auf eine offizielle 10 reduziert und zwei neue Punkte hinzugefügt:

• Durchsickern von Systemaufforderungen - wenn normalerweise verborgene Aufforderungen, die das Verhalten eines Modells steuern, für die Benutzer sichtbar werden.
• Vector und Embedding - die spezifische, geschützte oder Echtzeit-Informationen offenlegen können, die nicht öffentlich zugänglich sind

Richtlinien für diese Schwachstellen wurden dem LLM Top 10 Kurs hinzugefügt, und genau wie die Richtlinien, die entfernt wurden, sind diese beiden auch in Explore für Benutzer zugänglich, die die Vorteile des selbstgesteuerten Lernens nutzen möchten.

Schließlich hat OWASP auch einige Änderungen an bestehenden Schwachstellenkategorien in seiner Liste vorgenommen, indem es einige Kategorien umbenannt hat, um sie umfassender oder spezifischer zu machen, und indem es ihre Definitionen geändert hat. Unsere Richtlinien zu diesen Themen wurden nun aktualisiert, um sowohl die geringfügigen Änderungen der OWASP-Anleitung als auch die neuen Namenskonventionen zu berücksichtigen. Außerdem wurde die Auflistung in der Reihenfolge der Prioritäten aktualisiert, damit sie mit der Reihenfolge in den OWASP LLM Top 10 übereinstimmt.

Bei Secure Code Warrior haben wir uns verpflichtet, unseren Benutzern zu helfen, der Zeit voraus zu sein. Mit den neuesten OWASP-Updates, die sich bereits in unserem agilen learning platform widerspiegeln, haben wir es unseren Nutzern leicht gemacht, auf aktuelle Schulungsmaterialien zuzugreifen, die die aktuellsten Schwachstellen abdecken und das Risiko beim Einsatz von LLM- und generativen KI-Technologien mindern. Ganz gleich, ob Sie sich mit den neu eingeführten Bedrohungen System Prompt Leakage oder Vector and Embedding auseinandersetzen oder Ihr Verständnis von Misinformation und Unbounded Consumption auffrischen möchten, unsere Plattform bietet Ihnen die Ressourcen, die Sie benötigen, um diese kritischen Konzepte zu beherrschen und Ihre Sicherheitslage zu verbessern.

Ein sicherer Weg zur Verbesserung der Sicherheitslage Ihres Unternehmens ist die Weiterbildung von Entwicklern in Bezug auf Best Practices für sichere Kodierung, und zwar in einem Rahmen, der Grundlinien und Benchmarks umfasst, die Entwicklern die erforderlichen spezifischen Lernpfade vermitteln. Sichere Kodierung ist jedoch keine einmalige Lösung - sie muss zu einer Lebensweise werden, die in der DNA eines Unternehmens verankert ist. Entwickler müssen sich nicht nur nach links orientieren, sondern sie müssen es auch bleiben. 

Es reicht nicht aus, nur Schulungen anzubieten. Die Unternehmen müssen sich vergewissern, dass die Entwickler die Schulung vollständig verinnerlicht haben und die Best Practices zu Beginn des Softwareentwicklungszyklus (SDLC) als Teil ihrer täglichen Routine befolgen. Sie müssen die Leistung der Entwickler nachverfolgen und ihre Fortschritte sowohl an internen Standards als auch an Branchen-Benchmarks messen, um den ROI der Schulungsinvestitionen effektiv zu ermitteln.

Secure Code WarriorDer Trust Score gibt Aufschluss über die Leistung der einzelnen Entwickler und fasst die Daten zusammen, um einen Überblick über die Gesamtleistung Ihres Unternehmens zu geben ( assessment ). Er zeigt die Wirksamkeit von Weiterbildungsprogrammen und identifiziert verbesserungsbedürftige Bereiche. Darüber hinaus hilft er bei der Einhaltung einer Reihe von gesetzlichen Anforderungen, sei es die General Data Protection Regulation(GDPR), der Payment Card Industry Data Security Standard(PCI DSS), der California Consumer Privacy Act(CCPA) oder andere.

Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.

Schulungen verbessern die Sicherheit - wenn die Entwickler sie verstehen 

Jahrelang schien die Anwendung bewährter Sicherheitspraktiken zu Beginn des SDLC in der Softwarebranche eher ein Wunschtraum zu sein - schön, wenn es eines Tages so weit ist, aber keine Priorität für heute. Doch die immer schneller werdende Softwareentwicklung und die zunehmende Geschwindigkeit ausgeklügelter und zerstörerischer Cyber-Bedrohungen - die häufig auf Software-Schwachstellen abzielen - haben eine sichere Programmierung unabdingbar gemacht. Die Cybersecurity and Infrastructure Security Agency(CISA) stellt mit ihrer Secure-by-Design-Initiative, die sich zu einer internationalen Bewegung entwickelt, sicheren Code in den Mittelpunkt. 

Unsere Forschung hat dies bewiesen - die Korrelation zwischen einem Secure-by-Design-Ansatz und einer Verringerung der Software-Schwachstellen ist eindeutig. Wir haben die Daten zur Verringerung der Schwachstellen von 26 % der SCW-Kunden analysiert und festgestellt, dass Entwicklerschulungen zu einer Verringerung der Software-Schwachstellen zwischen 22 % und 84 % führten. Diese Spanne ergab sich aus Variablen wie der Größe der beteiligten Unternehmen (kleinere Unternehmen mit relativ wenigen Entwicklern erzielten dramatischere Ergebnisse) und der Tatsache, dass sich eine Lerngruppe auf ein bestimmtes Problem konzentrierte und in diesem Fall einen höheren Prozentsatz von Schwachstellen beseitigte.

Die Ergebnisse bei großen Unternehmen waren ziemlich einheitlich. Unternehmen mit 7.000 oder mehr Entwicklern können davon ausgehen, dass sich die Zahl der Schwachstellen um 47 % bis 53 % verringert, wenn die Entwickler ihre Sicherheitsfähigkeiten verbessern. Ein statistisch durchschnittliches Unternehmen mit mehr als 10.000 Entwicklern - weder ein Spitzenreiter auf der Plattform noch eines mit dem höchsten Benchmark - verzeichnete beispielsweise eine Verringerung der Sicherheitslücken um 53 %. 

Natürlich ist die effektivste Schulung kein allgemeiner Ansatz, der für alle passt. Sie sollte auf die Arbeitsumgebung der Entwickler und die Art der Entwicklung, die sie durchführen, zugeschnitten sein.

Unternehmen sollten damit beginnen, die Grundfertigkeiten festzulegen, über die Entwickler verfügen müssen, damit das Schreiben von sicherem Code für sie so selbstverständlich wird wie das Schreiben von Code selbst. Weiterbildungsprogramme sollten aus praktischen, agilen Schulungen in realen Szenarien bestehen, die der Art ihrer Arbeit und den von ihnen verwendeten Sprachen entsprechen. Und sie sollten so flexibel sein, dass die Schulungen in die Arbeitszeiten der Entwickler integriert werden können. 

Für Entwickler geht es um mehr als das Schreiben von Code. Sie müssen in der Lage sein, Software zu prüfen, die von Assistenten künstlicher Intelligenz und von Dritten, z. B. in Open-Source-Repositories, erstellt wurde. Entwickler haben von generativen KI-Modellen regen Gebrauch gemacht und loben im Allgemeinen deren Vorteile, die ihnen dabei helfen, mehr Code schneller zu erstellen. Doch obwohl 76 % der Befragten einer Snyk-Umfrage angaben, dass KI-generierter Code sicherer sei als von Menschen erstellter Code, gaben 56,4 % an, dass KI manchmal oder häufig Fehler einbringt. Und dieselbe Umfrage ergab, dass 80 % der Entwickler es versäumen, Sicherheitsrichtlinien für KI-Code anzuwenden, was darauf hindeutet, dass Code-Probleme in KI-Code nicht angegangen werden.

Bei einem Secure-by-Design-Ansatz arbeiten die Entwickler mit den Sicherheitsteams zusammen und nicht getrennt von ihnen, um diese Probleme frühzeitig im SDLC anzugehen und Schwachstellen zu identifizieren und zu beheben, bevor der Code in Produktion geht.

Trust Score misst die Leistung des Einzelnen und des Unternehmens

Entscheidend ist auch, dass die Ausbildung kontinuierlich erfolgt. Die Unternehmen müssen eine Sicherheitskultur einführen, die von den höchsten Rängen des Unternehmens bis hinunter zu den Mitarbeitern gilt. Der Schwerpunkt sollte auf der kontinuierlichen Verbesserung und der Anwendung bewährter Sicherheitsverfahren während des gesamten SDLC liegen. Technologie und Cyber-Kriminelle entwickeln sich ständig weiter, und das sollte auch für die Cybersicherheit gelten. Für Unternehmen, die Software herstellen, sind sicherheitsgeschulte Entwickler die Grundlage.

Aus diesem Grund ist der Nachweis, dass die Schulung tatsächlich gegriffen hat, genauso wichtig wie die Schulung selbst. Trust Score liefert nicht nur einen Überblick über die Leistung der einzelnen Entwickler und des Unternehmens insgesamt, sondern ermöglicht es Unternehmen auch, die Leistungsdaten aufzuschlüsseln und sich auf bestimmte Sprachen, Entwicklerteams oder Softwarekategorien zu konzentrieren. Die Daten aus individuellen und aggregierten Leistungsergebnissen helfen auch dabei, Bereiche zu identifizieren, in denen die Schulung verbessert werden muss - zum Beispiel, wenn sie nicht die gewünschte Wirkung auf die tägliche Leistung der Entwickler hat.

Trust Score ermöglicht es Unternehmen, die Leistung von Entwicklern zu bewerten und festzustellen, ob sie die erforderlichen Sicherheitskenntnisse erworben haben und anwenden, um sicherzustellen, dass sie die Lizenz zum Programmieren erhalten haben. So können Unternehmen qualifizierten Entwicklern vertrauensvoll Zugang zu ihren sensiblen Daten und kritischen Softwareprojekten gewähren, während sie denjenigen, die noch nicht ganz so weit sind, diesen Zugang verweigern.

Der Beweis für eine sich verändernde Sicherheitskultur

Cybersicherheit ist nicht mehr nur ein Sicherheitsproblem. Es ist ein Geschäftsthema, das die Integrität des wertvollsten Vermögens vieler Unternehmen betrifft - ihrer Daten. Eine schwerwiegende Sicherheitsverletzung beeinträchtigt den Betrieb, den Ruf und möglicherweise auch die Lebensfähigkeit eines Unternehmens. Die Bedeutung der Cybersicherheit ist auch den Aufsichtsbehörden nicht entgangen, die immer strengere Vorschriften einführen und bereit sind, Fälle gegen CISOs und möglicherweise andere Mitglieder der oberen Führungsebene zu verfolgen, bis hin zur Erhebung von Strafanzeigen, wie in den Fällen Uber und SolarWinds. 

Die Einführung einer unternehmensweiten Sicherheitskultur ist in der heutigen Zeit unerlässlich. Und da ein Großteil des Wertes eines Unternehmens in seinen Daten, Anwendungen und Diensten liegt, ist die sichere Programmierung ein Kernelement dieser Kultur. Gezielte Schulungen und Weiterbildungen als Teil einer kulturellen Denkweise sowie der Nachweis, dass die Schulungen zur Veränderung der Kultur beigetragen haben, können Unternehmen auf den Weg zur Stärkung ihrer Sicherheitsposition bringen. 

Entwicklergesteuerte Sicherheitsprogramme sind von großem Wert. Der Beweis dafür ist der Trust Score.

Sicherheitsteams haben Mühe, mit der Flut neuer Innovationen in der heutigen Cloud-gesteuerten DevOps-Welt Schritt zu halten. Daher ist es nur logisch, dass sie auch nicht mit den unzähligen Möglichkeiten Schritt halten können, mit denen Angreifer die Schwachstellen ausnutzen, die sich bei der ständigen Generierung von so viel Code zwangsläufig ergeben. 

Doch trotz der zunehmenden Zahl bedeutender Sicherheitsverletzungen - von der Datenschutzverletzung bei Equifax und dem Angriff auf die Lieferkette von SolarWinds bis hin zu weiteren Vorfällen in den letzten Jahren, wie den erfolgreichen Angriffen auf Change Healthcare, AT&T und andere - konzentrieren sich viele Unternehmen weiterhin auf einen reaktiven Sicherheitsansatz. Sie setzen den Großteil ihrer Sicherheitsressourcen darauf ein, Schwachstellen zu finden und zu beheben und auf Vorfälle zu reagieren, sobald sie auftreten. Dieser Ansatz mag in einer anderen Zeit angemessen gewesen sein, aber die rasante Entwicklung von Software, technologischen Möglichkeiten und IT-Infrastrukturen überfordert die unterbesetzten und überlasteten Sicherheitsteams, da sie nicht Schritt halten können.

Um zu vermeiden, dass sie ständig benachteiligt werden, müssen sie aufhören, Sicherheitsbedrohungen nachzujagen, die sich für sie zu schnell entwickeln, oder zu warten, bis das Pferd der Datenpanne aus dem Stall ist. Stattdessen sollten sie dem Problem zuvorkommen, indem sie einen präventiven und nicht einen reaktiven Ansatz verfolgen. Die Verbesserung der Sicherheit sowohl von Legacy-Anwendungen als auch von neuen Anwendungen erfordert einen Secure-by-Design-Ansatz, der durch effektive Entwicklerschulungen unterstützt wird, um sicherzustellen, dass zu Beginn des Softwareentwicklungszyklus (SDLC) bewährte Sicherheitspraktiken angewendet und Schwachstellen behoben werden, bevor sie in die Produktion gelangen.

Bislang war dies leichter gesagt als getan. 

Sichere Codierer sind Mangelware

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat versucht, mit ihrer Secure-by-Design-Initiative, die sichere Kodierung zusammen mit anderen bewährten Praktiken - von der Multi-Faktor-Authentifizierung (MFA) bis hin zur Reduzierung von Schwachstellen - fördert, die Prävention als Schlüsselpolitik voranzutreiben und Organisationen dazu zu ermutigen, das Secure-by-Design-Versprechen abzulegen. Andere Länder, darunter Australien, Kanada, Deutschland und Großbritannien, haben ähnliche Programme gestartet. Unsere Recherchen haben jedoch ergeben, dass sich bisher nur sehr wenige Unternehmen daran beteiligt haben.

Wenn wir alle Entwickler auf Secure Code Warrior's Learning Platform mit denen der SCW-Konkurrenten, die in der Secure-by-Design-Ader arbeiten, kombinieren, gibt es zwischen 500.000 und 1 Million Entwickler, die diesen Ansatz verfolgen. Nach der großzügigsten Schätzung sind das etwa 3,5 % der Gesamtzahl der Entwickler weltweit, die bis Ende 2024 voraussichtlich 28,7 Millionen erreichen wird. Das sind viele Entwickler, die mehr Code produzieren als je zuvor, vor allem angesichts der Tatsache, dass generative Programme für künstliche Intelligenz das Entwicklungstempo erheblich beschleunigen, und nur sehr wenige lernen, wie man mit sicherem Code beginnt. 

Software-Ingenieure werden in der Regel nicht in Cybersicherheit unterrichtet, weil das traditionelle Modell vorsieht, dass Entwickler und Sicherheitsexperten als getrennte Einheiten arbeiten, wobei sich die Sicherheitsteams erst nach der Erstellung der Software um Sicherheitsfragen kümmern. Doch Sicherheitsexperten sind in der heutigen Umgebung deutlich in der Minderheit. Der jüngste Bericht zum Building Security in Maturity Model (BSIMM14) zeigt, dass auf 100 Entwickler weltweit im Durchschnitt 3,87 AppSec-Experten kommen. Weniger als vier ausgebildete Spezialisten, die versuchen, den Output von 100 Entwicklern zu sichern, die mit halsbrecherischer Geschwindigkeit arbeiten, sind kein Rezept für sicheren Code. 

Die Vernachlässigung der Anwendungssicherheit wird auch deutlich, wenn man ihre Marktgröße mit anderen Sicherheitsbereichen vergleicht. Die Komponenten, aus denen sich ein Secure-by-Design-Ansatz zusammensetzt, fallen in den Markt für Anwendungssicherheit, der von 6,08 Milliarden US-Dollar im Jahr 2023 auf 17,51 Milliarden US-Dollar im Jahr 2031 anwachsen soll. Das sieht nach einem rasanten Wachstum aus, verblasst aber im Vergleich zu den Ausgaben für die Netzwerksicherheit, die von 23,57 Milliarden Dollar im Jahr 2023 auf 67,33 Milliarden Dollar im Jahr 2032 steigen sollen, oder für die Sicherheit der Betriebstechnologie, die von 18,03 Milliarden Dollar im Jahr 2023 auf 57,51 Milliarden Dollar im Jahr 2031 ansteigen soll. 

In Anbetracht der wachsenden Bedeutung von sicherem Code und sicheren Anwendungen ist dieser Bereich unterfinanziert. Wenn Unternehmen mehr in die Anwendungssicherheit und einen Secure-by-Design-Ansatz investieren, können sie möglicherweise in anderen Sicherheitsbereichen sparen. 

Es gibt noch eine Reihe anderer Faktoren, die dazu beitragen, dass präventive Sicherheit schwieriger zu implementieren und daher auch schwieriger an Führungskräfte zu verkaufen ist. Zum einen sind Unternehmen, die schon lange bestehen, wie z. B. im Finanzdienstleistungssektor, mit alten Altsystemen belastet, von denen einige noch aus der Mitte des letzten Jahrhunderts stammen, als COBOL die Programmiersprache der Wahl war. 

Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern. 

Aufbau einer Kultur der Prävention

Der Übergang zu einem präventiven Sicherheitskonzept mag nur langsam vonstatten gehen, aber der Druck zur Einführung von Secure-by-Design-Verfahren wird nicht nachlassen, denn die dringende Notwendigkeit dafür ist in der heutigen Cyber-Bedrohungslandschaft ungebrochen. Die Automobilindustrie würde in die Pfanne gehauen, wenn sie in mehr Krankenwagen und Sanitäter investieren würde, anstatt die Autos sicherer zu machen, doch viele Unternehmen folgen diesem Modell, wenn es um Cybersicherheit geht.

Unternehmen müssen einen präventiven, proaktiven Ansatz zur Risikominderung verfolgen. Sie sollten Programme entwickeln, um Entwickler für das Schreiben von sicherem Code und die Korrektur von Fehlern (z. B. durch KI-Assistenten oder Code von Drittanbietern) frühzeitig im SDLC zu schulen. Diese Programme sollten agile, interaktive Schulungsprogramme umfassen, die sich den Zeitplänen der Entwickler anpassen und auf ihre Arbeitsumgebung und die von ihnen verwendeten Programmiersprachen zugeschnitten werden können. Upskilling sollte praktische Schulungen beinhalten, die sich mit realen Problemen befassen.

Wichtig ist, dass es ein Mittel zur Messung der Fortschritte gibt, um zu gewährleisten, dass bewährte Sicherheitspraktiken zu einem wesentlichen Bestandteil der täglichen Routine geworden sind. Ein Tool wie der Trust Score von SCW nutzt Benchmarks, um den Fortschritt sowohl intern als auch im Vergleich zu Branchenstandards zu messen und gleichzeitig Bereiche zu identifizieren, die verbessert werden müssen. 

Ein "Secure-by-Design"-Ansatz wäre ganzheitlich und würde eine auf Sicherheit ausgerichtete Denkweise innerhalb des Unternehmens widerspiegeln, bei der Sicherheit eine geschäftliche Priorität darstellt. Reaktions- und Wiederherstellungsmaßnahmen sind zweifellos wichtige Bestandteile der allgemeinen Sicherheitsvorkehrungen eines Unternehmens. Durch die Konzentration auf die Vorbeugung können Unternehmen jedoch große Fortschritte bei der Risikominderung machen und vielleicht die Art von größeren Sicherheitsverletzungen vermeiden, die die Lebensfähigkeit eines Unternehmens gefährden können.

Erfahren Sie mehr darüber, wie Secure Code Warrior Sie bei der Umsetzung einer realisierbaren Secure-by-Design-Initiative unterstützen kann.

Da Cyber-Bedrohungen immer häufiger auftreten und immer ausgefeilter werden, rückt die Bedeutung von sicherem Code immer mehr in den Mittelpunkt der Cybersicherheit. Die Nationale Cybersicherheitsstrategie des Weißen Hauses und die Secure-by-Design-Initiative der Cybersecurity and Infrastructure Security Agency (CISA) sowie Initiativen und Gesetze in anderen Ländern legen die Verantwortung für die Sicherheit ganz klar auf die Schultern der Softwarehersteller. Eine Verschiebung nach links - oder besser gesagt, ein Beginn nach links - zur Gewährleistung der Sicherheit zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC), der früher als "nice to have" angesehen wurde, ist heute für Unternehmen unabdingbar, um ihre Daten und Systeme zu schützen und regulatorische Konsequenzen im Falle einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Kodierungspraktiken liegt in der Ausbildung der Entwickler. Software-Ingenieure erhalten in der Regel wenig oder gar keine Ausbildung in Cybersicherheit. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, besteht darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich zu entwickeln - zunehmend mit Hilfe von schnell arbeitenden generativen KI-Modellen - und die Sicherheitsteams sich erst zu einem späteren Zeitpunkt im SDLC mit Cybersicherheitsproblemen befassen zu lassen. Das ist ein ineffizienter Weg, um die Vielzahl von Fehlern zu beheben, die bei der Erstellung von so viel Code entstehen und oft dazu führen, dass Software-Schwachstellen im Ökosystem veröffentlicht werden.

Entwickler müssen darin geschult werden, von Anfang an sicheren Code zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von der KI generiert wird oder in Open-Source-Software und Software von Drittanbietern, die sie verwenden, enthalten ist. Für viele Entwicklungsteams und Unternehmen ist dies Neuland. Woher wissen sie, dass die Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung auch regelmäßig durchgeführt?

Einige Unternehmen, die sich um die Ausbildung von Entwicklern bemühen, haben es als vorteilhaft empfunden, eine Reihe von Grundkenntnissen festzulegen, die sich die Entwickler aneignen müssen, und ihre Fortschritte anhand klar definierter Maßstäbe zu messen. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt von Entwicklern bei der Sicherheitsschulung genau gemessen werden kann. Mit dem SCW Trust Score können Unternehmen messen, wie gut die Schulung bei der Arbeit angewendet wird, und die Zusammenarbeit von Sicherheits-, Entwickler- und Technikteams ermöglichen.

Auf diese Weise können Sie nachweisen, dass die Schulung in sicherem Code greift, und gleichzeitig Bereiche mit Verbesserungsbedarf ermitteln.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, die Sicherheit in den SDLC zu Beginn des Prozesses einzubeziehen. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI für den Entwicklungsprozess mit sich bringt, hat sich für die Entwickler als nützlich erwiesen, da sie die generative KI schnell übernommen haben, aber sie führt auch unweigerlich dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler gibt es. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, wobei fast 20 % davon als kritisch eingestuft werden. 

Die Behebung von Schwachstellen zu einem späteren Zeitpunkt im SDLC wird immer zeitaufwändiger und kostspieliger. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Mängeln während des Testens 15 Mal länger dauert als die Sicherung von Software zu Beginn des SDLC, und die Behebung während der Bereitstellungs-/Wartungsphase kann 30 bis 100 Mal länger dauern. 

All dies unterstreicht, wie wichtig es ist, die Sicherheit zu Beginn des Entwicklungszyklus einzusetzen, was sich nicht nur als der effektivste, sondern auch als der kostengünstigste Weg zur Risikominderung erwiesen hat. Entwickler, die mit den Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten arbeiten zu lassen, sind in der besten Position, um Sicherheit in den SDLC einzubringen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, haben Schwachstellen wirksam reduziert. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks 

Der grundlegende Weg für Unternehmen besteht darin, einen Grundstock an Sicherheitskompetenzen zu schaffen, Schulungen anzubieten und sowohl den Organisationen als auch den Aufsichtsbehörden gegenüber nachzuweisen, dass die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftszweigen als Herausforderung erwiesen, aber das muss nicht sein.

Eine der Herausforderungen für Sicherheitsverantwortliche ist die Schwierigkeit, ein Schulungsprogramm auf das gesamte Unternehmen auszuweiten. Die Untersuchungen des SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einer großen Zahl von Entwicklern, einen Secure-by-Design-Ansatz erfolgreich umsetzen können. Die Ergebnisse kleinerer Unternehmen zeigen eine große Bandbreite in der Anwendung der Secure-by-Design-Prinzipien. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden wahrscheinlich schneller Verbesserungen zeigen.

Trust Score nutzt Benchmarking-Metriken, um den Fortschritt der einzelnen Lernenden zu messen, fasst deren Ergebnisse zusammen, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit Branchen-Benchmarks und Best Practices. Es verfolgt nicht nur die Schulung, sondern zeigt auch, wie gut die Entwickler ihre neuen Fähigkeiten im Alltag anwenden. Es zeigt auch Bereiche auf, die verbessert werden müssen, so dass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann. 

In allen kritischen Infrastruktursektoren, für die Daten der CISA zur Verfügung standen, sind die meisten Organisationen bei der Umsetzung von Sicherheitsdesignprinzipien auf dem gleichen Stand. Die Vertrauenswerte für Sektoren, die von Finanzdienstleistungen und der Verteidigungsindustrie bis hin zum Gesundheitswesen, der IT und der kritischen Fertigung reichen, liegen im gleichen Bereich - etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl die Finanzdienstleister als die am stärksten regulierte Branche weit vorne liegen würden.

Kritische Infrastruktursektoren, die nicht im Trust Score-Ranking enthalten sind - wie z. B. Chemie-, Energie- und Nuklearbetriebe - entwickeln im Allgemeinen keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch, wie wichtig es ist, die von ihnen verwendete Software zu sichern.

Fazit

Der zunehmende regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft machen einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unabdingbar. Die Erstellung sicherer Software liegt größtenteils in den Händen der Entwickler, aber sie brauchen Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die nötige Ausbildung vermittelt und zeigt, wie sie angewandt wird. 

Ein Programm mit Benchmarks, das von einem Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, den sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, benötigen, um sicherzustellen, dass sie ihre Fähigkeiten zur sicheren Softwareentwicklung ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

‍

Es ist ermutigend zu sehen, wie die Secure-By-Design (SBD)-Bewegung der CISA weltweit an Schwung gewinnt, da sich die Vereinigten Staaten, Australien, Neuseeland, Kanada, Singapur, Japan, Deutschland und das Vereinigte Königreich dazu verpflichten, ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einzubinden, und viele dieser Länder auch zu den ursprünglichen Empfehlungen beitragen.

Seit April 2024 haben mehr als 200 Unternehmen, darunter Secure Code Warriorhaben die Secure-by-Design-Verpflichtung unterzeichnet, was auf ein breiteres Engagement der Industrie für höhere Softwarequalität und Sicherheitsstandards hinweist. Wir sehen diese Richtlinien als einen entscheidenden Moment für die Verantwortlichen im Bereich der Cybersicherheit, die zum ersten Mal die Unterstützung einer globalen Regierung für einen bedeutenden kulturellen Wandel in der Softwareentwicklung haben. Auch wenn diese Empfehlungen außerhalb der Softwareanbieter, die direkt an die US-Regierung verkaufen, noch nicht verpflichtend sind, sehe ich darin nicht nur die Zukunft, sondern auch eine einmalige Gelegenheit, sich gegen Bedrohungsakteure zur Wehr zu setzen. Im Mittelpunkt der Leitlinien steht das Streben nach der Beseitigung von Schwachstellen, und wenn wir uns branchenweit auf dieses Ziel konzentrieren, könnten wir die größten positiven Auswirkungen auf die digitale Sicherheit seit Jahrzehnten erzielen.

Wir glauben, dass diese Bewegung von entscheidender Bedeutung ist, und unser neuestes Forschungspapier, Benchmarking von Sicherheitskompetenzen: Streamlining Secure-by-Design in the Enterprise ist das Ergebnis einer eingehenden Analyse realer Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Erkenntnisse. 

Messung des ROI organisatorischer Secure-by-Design-Bemühungen

Eine Überarbeitung seit langem etablierter Softwareentwicklungspraktiken ist kein leichtes Unterfangen. CISOs stehen häufig vor der Herausforderung, den Return on Investment (ROI) und den geschäftlichen Wert von Sicherheitsprogrammaktivitäten sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Viele äußern zunehmende Frustration über Budgetkürzungen und mangelnde Zustimmung der obersten Führungsebene zu neuen Cyber-Initiativen. Ein auf Daten basierender Vorschlag kann hier jedoch den entscheidenden Unterschied machen. 

In den letzten Jahren war das Fehlen eines Kompetenzmaßstabs, der es Unternehmen ermöglicht, ihre Leistung im Vergleich zu Branchenstandards zu bewerten, eine große Herausforderung. Dies hat es unglaublich schwierig gemacht, Sicherheitsprogramme zu entwickeln und umzusetzen, die die richtigen Bereiche beeinflussen und eine kontinuierliche Verbesserung der Entwicklungskohorte fördern, ein entscheidendes Element erfolgreicher Softwaresicherheitspraktiken. 

Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, die für die Gewährleistung von sicherem Code erforderlich sind, sondern auch darin, den Regulierungsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. Daher haben wir uns entschlossen, die Bereitschaft der Entwicklerteams zu analysieren. Die Ergebnisse könnten überraschen.

Wie Unternehmen, die ihre SBD-Initiativen beschleunigen möchten, vom Trust Score profitieren können

Ohne eine klare Vorstellung davon, wo Sie anfangen und wo Sie hin müssen, ist es praktisch unmöglich, sich effizient zu verbessern. Hunderte von Unternehmenskunden nutzen jedoch erfolgreich den SCW Trust Score – einen globalen Benchmark, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert –, um diese hilfreichen, detaillierten Datenpunkte bereitzustellen. Diese Erkenntnisse bilden die Grundlage für hochwirksame, entwicklergesteuerte Sicherheitsprogramme, die erfolgreiche Secure-by-Design-Initiativen ermöglichen.

Die in unserem Whitepaper veröffentlichte Analyse zeigt, dass Organisationen in den wichtigsten Infrastrukturbranchen Fortschritte dabei machen, ihre Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen vorzubereiten. Wir haben auch festgestellt, dass die Entwicklerteams dieser Branchen eine durchschnittliche Sicherheitslage aufweisen.

Secure Code Warrior Die Analyse von zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern auf der ganzen Welt. Die Analyse ergab Folgendes:

• Die Gesamtzahl der Entwickler, die derzeit an entwicklerzentrierten SBD-Weiterbildungsinitiativen beteiligt sind, beträgt weniger als 4 % aller Entwickler weltweit.
• Die Finanzdienstleistungsbranche verfügte mit 336 über den höchsten Vertrauenswert;
• Die meisten groß angelegten Secure-by-Design-Weiterbildungsinitiativen sind erfolgreich, während kleinere Initiativen eher verstreut sind. Wenn sie jedoch ein Mandat erhalten, liefern sie nachweislich schneller einen messbaren Return on Investment (ROI);
• Wenn Weiterbildungsinitiativen fest etabliert sind, sind die von Entwicklern in Anwendungen eingebrachten Risiken erheblich geringer. Die Analyse ergab, dass Entwickler im Rahmen großer Weiterbildungsinitiativen (7000+ Entwickler in einem einzigen Unternehmen) Schwachstellen voraussichtlich um 47-53 % reduzieren können.

Die Lösung | Fazit

SCW Trust Score ist ein leistungsstarkes Tool für jeden Sicherheitsverantwortlichen, das einen umfassenden Einblick in bestimmte Bereiche innerhalb einer Organisation ermöglicht. Berichte können nach Sprachen, Teams oder Kategorien gefiltert werden, sodass benutzerdefinierte Berichte erstellt werden, mit denen Unternehmen auf die spezifischen Anforderungen von Entwicklern oder Teams eingehen und die Bereiche identifizieren können, in denen zusätzliche Schulungen oder Coaching erforderlich sind. Schließlich ist Sicherheit ein nie endendes Unterfangen. Ein effektives Benchmarking der Leistung hilft dabei, Möglichkeiten zur kontinuierlichen Verbesserung zu identifizieren.

Die beschleunigte Softwareentwicklung und -bereitstellung, gepaart mit einer immer bedrohlicheren Cyberbedrohungslandschaft und zunehmend scharfsinnigen Regulierungsbehörden haben die Cybersicherheit in den Vordergrund gerückt. Unternehmen müssen, sofern sie dies nicht bereits getan haben, der Entwicklung einer unternehmensweiten Kultur, in der Sicherheit an erster Stelle steht, Priorität einräumen.

Linux-Benutzer hatten es in letzter Zeit nicht leicht, denn in den letzten Jahren wurden mehrere hochgradige Sicherheitslücken bekannt, die das System auf unterschiedliche Weise beeinträchtigen. Sicherheitsforscher haben nun eine weitere Gruppe von Schwachstellen zu entpacken, die alle mit der Funktion Common UNIX Printing System (CUPS) zu tun haben, die auf GNU/Linux-Systeme abzielt und einen potenziellen Weg für eine starke Remote Code Execution (RCE) bietet.

Am 27. September 2024 veröffentlichte Simone Margaritelli von evilsocket.net kritische Informationen über mehrere ausnutzbare Schwachstellen in CUPS, wobei vier davon CVEs zugewiesen wurden. Diese Zahl könnte noch steigen, aber zum Zeitpunkt der Erstellung dieses Artikels diskutiert die Sicherheitsgemeinschaft über den tatsächlichen Schweregrad dieser Entdeckungen. Während eine der CVEs, CVE-2024-47177, von MITRE derzeit als kritisch eingestuft wird, ist die erfolgreiche Manipulation dieses Befehlsinjektionsfehlers von Servern abhängig, auf denen der CUPS-Dienst aktiviert ist, und erfordert außerdem Zugriff auf den UDP-Port 631 oder DNS-SD. RedHat weist jedoch darauf hin, dass es möglich ist, CUPS auf einen anderen Port umzuleiten. 

Margaritellis umfassende Aufschlüsselung des Vorfalls offenbart eine heimtückische, komplexe Kette von Angriffen, die trotz der Meinungsverschiedenheiten in der Community nicht ignoriert werden sollte. Der Vorfall bietet uns eine Lektion darüber, dass scheinbar harmlose Abhängigkeiten ausgenutzt werden können, wenn ein Bedrohungsakteur entschlossen genug ist und wenn durch schlechte Codierungsmuster kleine Zeitfenster offen gelassen wurden.

Das CUPS-Szenario unterscheidet sich ein wenig von dem, was viele Entwickler und AppSec-Profis bisher erlebt haben, also lassen Sie uns einen Blick darauf werfen und Ihre Fähigkeiten auf diesem Weg testen.

Die Sicherheitslücke: Remote Code Execution (RCE) über CUPS

Der Evilsocket-Blog bietet einen unübertroffenen, gründlichen Hintergrund zu diesen Exploits, und wir werden diese Quelle weiterhin aufmerksam verfolgen. Margaritelli zitiert in seinem Artikel auch eine ungenannte Quelle, die sich nicht optimistisch über die allgemeine Sicherheitsstabilität von Linux äußert:

‍

"Vom allgemeinen Sicherheitsstandpunkt aus gesehen ist ein ganzes Linux-System in seiner heutigen Form nur ein endloses und hoffnungsloses Durcheinander von Sicherheitslücken, die darauf warten, ausgenutzt zu werden."

Dies ist eine ernüchternde Erinnerung an die inhärenten Sicherheitsrisiken, die in Open-Source-Umgebungen nach wie vor vorherrschen, ganz zu schweigen von der dringenden Notwendigkeit eines erhöhten Sicherheitsbewusstseins und sicherer Programmierkenntnisse in der weltweiten Entwicklergemeinschaft.

Lassen Sie uns einen Blick auf die CVEs werfen:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

DieVerwundbarkeitskette ist weit verbreitet und wirkt sich derzeit auf alle aktuellen und früheren Versionen der folgenden Pakete aus:

• distrotech/becher-filter
• OpenPrinting/Tassen-Filter
• Cups-browsed
• libcupsfilters
• libppd
  
  

CUPS ist seit über zwei Jahrzehnten eine Legacy-Komponente von UNIX- und Linux-Betriebssystemen. Aufgrund seiner Funktion als Abhängigkeit von Druckdiensten ist es sehr anfällig für Netzwerkanfragen, was es zu einem bevorzugten Ziel für Schwachstellen der RCE-Klasse macht.

In diesem Fall gibt es jedoch eine raffinierte Kombination der Angriffe, die zu einem erfolgreichen Ergebnis führt. Im Wesentlichen handelt es sich um die Fähigkeit eines nicht authentifizierten, unentdeckten Angreifers, IPP-URLs (Internet Printing Protocol) durch bösartige URLs zu ersetzen und zusätzlich Direktiven zu ändern, die eine Befehlsinjektion in die PPD-Datei (PostScript Printer Description) bewirken können, eine Datei, die die Funktionen des neu hinzugefügten Druckers beschreibt. Dies führt zu einem Angriff zur Befehlsausführung, sobald ein Druckauftrag aktiviert wird, und beruht auf einer fehlenden Eingabevalidierung innerhalb der CUPS-Komponenten.

Außerdem ist die Behebung dieser speziellen Schwachstelle eine Art zweischneidiges Schwert, wie Evilsocket betont. CUPS enthält den foomatic-rip-Filter, eine ausführbare Datei, die bereits in der Vergangenheit als hochriskante, ausnutzbare Komponente bekannt war. CVEs, die sich auf diese Komponente beziehen, reichen bis ins Jahr 2011 zurück, und obwohl festgestellt wurde, dass foomatic-rip zur Ausführung von Betriebssystembefehlen genutzt werden kann, führt die Behebung dieses Problems zu Stabilitätsproblemen und zum Verlust der Unterstützung für viele ältere Drucker. Es ist ein komplexes Problem, das es zu lösen gilt.

1. Der Bedrohungsakteur initiiert den Angriff
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. Das Opfersystem verarbeitet die Druckereigenschaften
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. Das Opfersystem verbindet sich mit dem IPP-Server des Angreifers
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

Wie können Sie das RCE-Risiko mindern?

Unternehmen, die CUPS im Rahmen ihres Geschäftsbetriebs einsetzen, müssen die empfohlenen Abhilfemaßnahmen von Evilsocket und RedHat befolgen. Dazu gehört unter anderem das Einspielen von Sicherheitspatches als Priorität für den Notfall.

Für Command Injection im Allgemeinen lesen Sie bitte unseren umfassenden Leitfaden.

Wenn Sie an weiteren kostenlosen Kodierungsrichtlinien interessiert sind, besuchen Sie Secure Code Coach, um sich über die besten Praktiken für sichere Kodierung zu informieren.

Umsetzbare Erkenntnisse, die Ihre Bemühungen um sicheres Codelernen messen 

Die Maximierung des Werts Ihres Programms zum Erlernen von sicherem Code hängt stark vom Engagement Ihrer Benutzer ab. Die Welt der Cybersicherheit ist eine sich ständig weiterentwickelnde Landschaft mit neuen Bedrohungen, aber auch mit Möglichkeiten zur Stärkung Ihrer allgemeinen Sicherheitslage. Eine proaktive Herangehensweise an die Sicherheit Ihres Codes erfordert kontinuierliches Secure Code Learning, um die Wirksamkeit und Relevanz des Programms zu maximieren. Um dies zu erreichen, müssen die Programmverantwortlichen ein klares Verständnis der Benutzerinteraktion haben, und zwar nicht nur zu einem bestimmten Zeitpunkt, sondern über längere Zeiträume hinweg, um Trends zu erkennen und die Leistung des Programms zu optimieren.

Deshalb freuen wir uns, einen neuen Bericht vorzustellen, der das Engagement Ihrer Benutzer misst und es einfach macht, wichtige Trends zu erkennen und zu bestimmen, wann in Ihrem Unternehmen Maßnahmen ergriffen werden müssen. Mit diesen neuen Erkenntnissen können Unternehmen nicht nur ihre Investitionen in sicheres Code-Lernen maximieren, sondern auch ihre Cybersicherheitslage nachhaltig verbessern.

Was ist neu in diesem Bericht?

Der Bericht "Engagement Insights" präsentiert eine Reihe von Schlüsselstatistiken, die für Ihr agiles Lernprogramm relevant sind, über den von Ihnen gewählten Zeitraum (standardmäßig die letzten 12 Monate), die alle auch über die Reporting API zugänglich sind. Der Engagement-Bericht bietet einen schnellen und einfachen Überblick über die Anzahl der neuen Lernenden, die sich in diesem Zeitraum aktiv mit der SCW agile learning platform beschäftigt haben, der aktiven Lernenden, die sich mit der Plattform beschäftigt haben, und der aktuellen Anzahl der aktivierten Lernenden.

‍

‍

Diese Gesamtzahlen sind nur der Anfang. Sie können aufschlüsseln, wie Ihre Lernenden sich mit der Plattform beschäftigt haben, und Trends bei den aktiven Lernenden über den ausgewählten Zeitraum feststellen. Anhand dieser Informationen können Sie Kommunikationsmaßnahmen (interne Newsletter, Blogs) oder andere Aktivitäten planen, um die Entwickler dazu zu bewegen, ihre Fähigkeiten weiter zu verbessern.

‍

Ebenso zeigt die Aufschlüsselung der letzten Lernaktivität, wann Ihre Lernenden das letzte Mal mit der SCW-Plattform gearbeitet haben. Wie bei jeder Form des Lernens verblasst die Erinnerung an Konzepte mit der Zeit. Ideal ist es, wenn der Großteil der Lernenden in den ersten beiden Klammern steht, die die jüngste Beschäftigung anzeigen. Diese Art der Gruppierung sorgt nicht nur dafür, dass die Fähigkeiten der Entwickler auf dem neuesten Stand bleiben, sondern verbessert auch den SCW Trust Score Ihres Unternehmens, da ein zeitlich bedingtes Nachlassen der Fähigkeiten in der Gesamtheit vermieden wird.

‍

‍

Und die Erkenntnisse gehen über die Häufigkeit und Häufigkeit hinaus. Der Engagement-Bericht liefert eine Aufschlüsselung der Zeit, die die Lernenden in den verschiedenen Bereichen der Secure Code Warrior Plattform in dem ausgewählten Zeitraum verbracht haben. Administratoren können diese Informationen nutzen, um herauszufinden, was das Engagement der Nutzer antreibt. Ist es schon eine Weile her, dass Sie das letzte Mal einen SCW tournament durchgeführt haben, könnte es eine Möglichkeit geben, einen Teil Ihrer Entwickler-Kohorte wieder einzubinden? Nutzen die Lernenden das Erkundungsmodul, um ihren Horizont außerhalb der strukturierten Lerninhalte in Courses oder Prüfungen zu erweitern? Die Identifizierung von Lerntypen mit hohem Engagement und von Top-Nutzern bietet die Möglichkeit, Programme zu entwerfen, die bei Entwicklern beliebt sind, und Ihre aktiven Führungskräfte zu feiern.

‍

Wie Sie sehen können, gibt es viele Möglichkeiten, das Engagement Ihrer Lernenden mit Ihrem agilen Lernprogramm zu messen. Wir werden auch in Zukunft weitere Einblicke und Berichte bereitstellen, um die effektivsten Lernergebnisse zu erzielen und die Cybersicherheitslage Ihres Unternehmens zu verbessern. Bleiben Sie dran, um die nächsten neuen Erkenntnisse zu erhalten, und lassen Sie uns wissen, wenn Sie Fragen, Feedback oder spezifische Daten haben, die Sie gerne sehen würden, um Ihr Programm zu optimieren!

‍

Die Verringerung der Sicherheitsschuld ist ein Ziel, das alle Unternehmen anstreben. Wie kann man die Anzahl der Sicherheitslücken minimieren? Wie kann man die Zeit bis zur Marktreife verkürzen und gleichzeitig sicherstellen, dass der erzeugte Code erstklassig ist?  

Wie viele andere Unternehmen hat sich auch DigitalOcean für Secure Code Warrior entschieden, um die digitale Innovation und Modernisierung voranzutreiben, indem von Anfang an hochwertiger Code mit sicherheitsbewussten Entwicklern erstellt und freigegeben wird.  

DigitalOcean, das skalierbare Rechenressourcen und eine Reihe von Cloud-Lösungen anbietet, mit denen Entwickler Anwendungen mühelos bereitstellen, verwalten und skalieren können, wandte sich an Secure Code Warrior , als das Unternehmen expandierte und seine technischen Teams vergrößerte. In der schnelllebigen Technologiebranche musste das Unternehmen sicherstellen, dass seine Entwickler häufige schlechte Codierungsmuster, die bei Design-Reviews auftraten, identifizieren konnten, um proaktiv zu verhindern, dass sie wieder auftreten. 

Wie Ari Kalfus, Senior Manager of Product Security, feststellte, "brauchten wir eine Lösung, die auf die Bedürfnisse der Entwickler zugeschnitten war und sich auf die Risiken konzentrierte, mit denen unser Unternehmen konfrontiert war". Secure Code Warrior erfüllte diese Anforderungen, wobei eines der bemerkenswertesten Ergebnisse die Fähigkeit war, schnell und regelmäßig sichere Codierungspraktiken zu verstärken. Dies führte zu einem deutlichen Rückgang der Sicherheitsverschuldung in den Teams. Insgesamt hat DigitalOcean festgestellt, dass die mit SCW geschulten Teams nicht nur besser in der Lage waren, Sicherheitsprobleme zu erkennen und zu entschärfen, sondern dass sie nun auch das Vertrauen haben, die Grenzen der Innovation zu erweitern, ohne die Sicherheit zu gefährden.

Lesen Sie hier mehr darüber, wie DigitalOcean seine Sicherheitsverschuldung reduziert hat... und nun seinen Sicherheitsüberschuss nutzt, um die Grenzen von Produktivität und Innovation weiter zu verschieben.