In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.

In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.

Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:

• 76 % nominierte Anwendungsleistung 
• 62% wählten Features und Funktionalität
• Und etwas mehr als 50% wählten sicheren Code
  

Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität. 

Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird. 

Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen. 

Bedenken und Barrieren rund um sichere Kodierungspraktiken

Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst. 

Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.

Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager. 

Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken. 

45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.

Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.   

Wer ist für sichere Code-Praktiken verantwortlich? 

Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden. 

Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind. 

Mehr Sicherheits-Champions schaffen 

Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen. 

Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.

83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung. 

Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.  

Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen. 

Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten? 

Lösungen, um die Neuausrichtung in Angriff zu nehmen

Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien. 

Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind. 

Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht. 

Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.

Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.

*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020