Warum Gamification der Schlüssel zur Verbesserung Ihrer Software-Sicherheit ist

Veröffentlicht am 01. Aug. 2018
von Pieter Danhieux
FALLSTUDIE

Warum Gamification der Schlüssel zur Verbesserung Ihrer Software-Sicherheit ist

Veröffentlicht am 01. Aug. 2018
von Pieter Danhieux
Ressource anzeigen
Ressource anzeigen

AppSec-Manager, CISOs, CIOs, Cybersecurity-Experten - ich habe im Laufe meiner eigenen Karriere in der Software-Entwicklung und -Sicherheit mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt arbeiten.

Unabhängig davon, wie unterschiedlich ihre Situation ist, wie erfahren ihr Team ist oder wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergeht, gibt es ein Problem, das immer gleich bleibt: Sie sind selten in der Lage, ihr Entwicklerteam positiv auf das Thema Sicherheit einzuschwören. Sicherheit ist immer noch das Schimpfwort, die Quelle für Konflikte zwischen Teams und der regelrechte Schmerz im Hintern der Branche.

Software-Sicherheit ist jedoch einfach zu wichtig, als dass unsere allgemeine Denkweise diesen Weg weiterverfolgen könnte. Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist die Befähigung und Einbindung von Entwicklern in das Thema Sicherheit, z. B. durch Gamification.

Die aktuelle Landschaft

Entwickler verlassen die Universität mit sehr wenig praktischem Wissen über die Bereitstellung von sicherem Code, sie arbeiten in Jobs, in denen Sicherheitstraining selten eine Priorität ist (und wenn, dann ist es normalerweise Teil der obligatorischen Compliance-Videos rund um Gesundheit und Sicherheit, die so langweilig sind, dass niemand jemals dazu bewegt werden würde, sich um sichere Programmierung zu kümmern). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit oder ein Fehlerbericht beim Testen, der plötzlich ein zukünftiges Release stoppt und zu einer sofortigen Top-Prioritäts-Störung ihres kreativen Geistes wird. Sie befinden sich im Streit mit denjenigen, die für die Sicherheitsberichte verantwortlich sind, so dass "Sicherheit" in ihrem Kopf zum Synonym für "Kritik" wird. Igitt.

Es ist ehrlich gesagt eine echte Schande, dass diese negative Wahrnehmung von Softwaresicherheit so weit verbreitet ist. Immerhin beziehen sich einige der besten Erinnerungen, die ich an meine Karriere habe, auf das Lernen über Softwaresicherheit. Ich verbrachte meine frühen Hacker-Tage damit, Konferenzen zu besuchen, auf denen ich nicht nur meine Fähigkeiten gegen Gleichgesinnte testen konnte (und, um ehrlich zu sein, ein wenig angeben konnte), sondern auch enormen Spaß daran hatte, Gleichgesinnte zu treffen, die genauso viel Spaß daran hatten, Software zu knacken wie ich.

BruCon, DefCon, BlackHat... diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundlichen Wettbewerb einzusetzen. Obwohl ich nie zugeben würde, dass ich an solchen asozialen Dingen teilnehme, stellten einige sogar ihre Hacking-Fähigkeiten zur Schau, indem sie in die Telefone anderer Teilnehmer einbrachen und ihre Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigten. Es wurde zu einem Spiel, diese Fehler zu finden - sie auszunutzen und zu beheben - um Software besser zu machen. Vor ein paar Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und sie über Cybersicherheit zu unterrichten. Ich erinnere mich noch an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen etwas über Brute-Forcing von Passwörtern und Base64-Kodierung lernte.

Gamification wird auch verwendet, um Programmierkenntnisse zu vermitteln. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um sehr jungen Kindern bis hin zum Highschool-Alter das Programmieren beizubringen. Kinder im Alter von vier Jahren nehmen jetzt regelmäßig an Ferieninitiativen wie CodeCamp teil, und es gibt eine Reihe von fantastischen Online-Programmen, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das erstaunliche bildschirmlose Codierungstool Cubetto für meine vierjährige Tochter gekauft.

Doch trotz all dieses Spaßes und Fortschritts gibt es eine Lücke. Niemand dachte an die Möglichkeit, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.

Nun... fast niemand. Vor ein paar Jahren kam ich zu der Erkenntnis, dass wir Sicherheit wieder inspirierend machen und Entwickler wirklich motivieren müssen, sich zu beteiligen und zu spielen.

Gamification: Der einfache Weg nach vorn.

Es gibt einen tiefen Antrieb in mir, Entwickler mit Sicherheitswissen aufzurichten und zu befähigen, und es ist diese Leidenschaft, die mich zur Gründung von Secure Code Warrior geführt hat. Softwaresicherheit ist so wichtig, und sie kann wirklich aufregend sein.

Ich bin nicht allein mit meiner Meinung.

Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und hält die Menschen so engagiert, dass sie weiter spielen, gewinnen und Fortschritte machen wollen - schauen Sie sich nur an, wie Pok̩mon Go! selbst die faulsten Menschen von der Couch, nach draußen und auf die Suche nach imaginären Kreaturen gebracht hat, oder wie FitBit es für viele zu einem täglichen Ziel macht, ihre Schrittzahl zu erreichen... ein sehr reales Gefühl der Enttäuschung stellt sich ein, wenn diese Ziele nicht erreicht werden, wenn Serien beendet werden und Abzeichen nicht verdient werden.

Also, zurück zum Sicherheitstraining. Wir haben bei vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihren Organisationen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu bauen und ihnen generell dabei zu helfen, Software mit einem höheren Standard zu entwickeln.

Im Moment ist die Sicherheit nicht die Priorität des Entwicklers. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und fesselndes Element hinzufügen, motivieren Sie sie, nicht nur zu "spielen", sondern immer wieder zurückzukehren, um mehr Punkte zu sammeln, Highscores zu schlagen, genauer zu werden und die anderen Teammitglieder herauszufordern.

Wir wissen bereits, dass erfolgreiches Training in etwa so aussieht:

  • Entwickler können in echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten
  • Die Challenges sind kurz und decken alle gängigen Sicherheitslücken ab
  • Herausforderungen werden ständig erweitert und aktualisiert, so dass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können
  • Die Herausforderungen variieren in ihrer Komplexität, so dass sie sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant sind
  • Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für das Training aufgewendeten Zeit und ihrer Gesamtgenauigkeit.

Einer unserer größten Kunden zeigte die wahre Magie einer gamifizierten Plattform bei der Einführung, indem er seine Entwickler mit thematischer Teamkleidung ausstattete, tolle Preise für die Gewinner der Spiele auslobte und tournament wirklich zu einem unvergesslichen Tag machte. Seitdem haben sie internationale Wettbewerbe angeboten, und ihr gesamtes Team sammelt bis heute fleißig Trainingsstunden.

Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist führend bei der Einführung von gamifizierten Schulungen im Kampf gegen schlechten Code, in einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt - sehen Sie sich nur an, was unser Kunde mit seinem Next-Level tournament gemacht hat. Sind Sie bereit, Ihr Team mit uns auf ein neues Level zu bringen?

Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.
Ressource anzeigen
Ressource anzeigen

Autor

Pieter Danhieux

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Warum Gamification der Schlüssel zur Verbesserung Ihrer Software-Sicherheit ist

Veröffentlicht am 01. Aug. 2018
Von Pieter Danhieux

AppSec-Manager, CISOs, CIOs, Cybersecurity-Experten - ich habe im Laufe meiner eigenen Karriere in der Software-Entwicklung und -Sicherheit mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt arbeiten.

Unabhängig davon, wie unterschiedlich ihre Situation ist, wie erfahren ihr Team ist oder wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergeht, gibt es ein Problem, das immer gleich bleibt: Sie sind selten in der Lage, ihr Entwicklerteam positiv auf das Thema Sicherheit einzuschwören. Sicherheit ist immer noch das Schimpfwort, die Quelle für Konflikte zwischen Teams und der regelrechte Schmerz im Hintern der Branche.

Software-Sicherheit ist jedoch einfach zu wichtig, als dass unsere allgemeine Denkweise diesen Weg weiterverfolgen könnte. Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist die Befähigung und Einbindung von Entwicklern in das Thema Sicherheit, z. B. durch Gamification.

Die aktuelle Landschaft

Entwickler verlassen die Universität mit sehr wenig praktischem Wissen über die Bereitstellung von sicherem Code, sie arbeiten in Jobs, in denen Sicherheitstraining selten eine Priorität ist (und wenn, dann ist es normalerweise Teil der obligatorischen Compliance-Videos rund um Gesundheit und Sicherheit, die so langweilig sind, dass niemand jemals dazu bewegt werden würde, sich um sichere Programmierung zu kümmern). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Audit oder ein Fehlerbericht beim Testen, der plötzlich ein zukünftiges Release stoppt und zu einer sofortigen Top-Prioritäts-Störung ihres kreativen Geistes wird. Sie befinden sich im Streit mit denjenigen, die für die Sicherheitsberichte verantwortlich sind, so dass "Sicherheit" in ihrem Kopf zum Synonym für "Kritik" wird. Igitt.

Es ist ehrlich gesagt eine echte Schande, dass diese negative Wahrnehmung von Softwaresicherheit so weit verbreitet ist. Immerhin beziehen sich einige der besten Erinnerungen, die ich an meine Karriere habe, auf das Lernen über Softwaresicherheit. Ich verbrachte meine frühen Hacker-Tage damit, Konferenzen zu besuchen, auf denen ich nicht nur meine Fähigkeiten gegen Gleichgesinnte testen konnte (und, um ehrlich zu sein, ein wenig angeben konnte), sondern auch enormen Spaß daran hatte, Gleichgesinnte zu treffen, die genauso viel Spaß daran hatten, Software zu knacken wie ich.

BruCon, DefCon, BlackHat... diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundlichen Wettbewerb einzusetzen. Obwohl ich nie zugeben würde, dass ich an solchen asozialen Dingen teilnehme, stellten einige sogar ihre Hacking-Fähigkeiten zur Schau, indem sie in die Telefone anderer Teilnehmer einbrachen und ihre Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigten. Es wurde zu einem Spiel, diese Fehler zu finden - sie auszunutzen und zu beheben - um Software besser zu machen. Vor ein paar Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und sie über Cybersicherheit zu unterrichten. Ich erinnere mich noch an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen etwas über Brute-Forcing von Passwörtern und Base64-Kodierung lernte.

Gamification wird auch verwendet, um Programmierkenntnisse zu vermitteln. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um sehr jungen Kindern bis hin zum Highschool-Alter das Programmieren beizubringen. Kinder im Alter von vier Jahren nehmen jetzt regelmäßig an Ferieninitiativen wie CodeCamp teil, und es gibt eine Reihe von fantastischen Online-Programmen, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das erstaunliche bildschirmlose Codierungstool Cubetto für meine vierjährige Tochter gekauft.

Doch trotz all dieses Spaßes und Fortschritts gibt es eine Lücke. Niemand dachte an die Möglichkeit, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.

Nun... fast niemand. Vor ein paar Jahren kam ich zu der Erkenntnis, dass wir Sicherheit wieder inspirierend machen und Entwickler wirklich motivieren müssen, sich zu beteiligen und zu spielen.

Gamification: Der einfache Weg nach vorn.

Es gibt einen tiefen Antrieb in mir, Entwickler mit Sicherheitswissen aufzurichten und zu befähigen, und es ist diese Leidenschaft, die mich zur Gründung von Secure Code Warrior geführt hat. Softwaresicherheit ist so wichtig, und sie kann wirklich aufregend sein.

Ich bin nicht allein mit meiner Meinung.

Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und hält die Menschen so engagiert, dass sie weiter spielen, gewinnen und Fortschritte machen wollen - schauen Sie sich nur an, wie Pok̩mon Go! selbst die faulsten Menschen von der Couch, nach draußen und auf die Suche nach imaginären Kreaturen gebracht hat, oder wie FitBit es für viele zu einem täglichen Ziel macht, ihre Schrittzahl zu erreichen... ein sehr reales Gefühl der Enttäuschung stellt sich ein, wenn diese Ziele nicht erreicht werden, wenn Serien beendet werden und Abzeichen nicht verdient werden.

Also, zurück zum Sicherheitstraining. Wir haben bei vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihren Organisationen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu bauen und ihnen generell dabei zu helfen, Software mit einem höheren Standard zu entwickeln.

Im Moment ist die Sicherheit nicht die Priorität des Entwicklers. Indem Sie Ihren Trainingsmethoden ein freundliches, wettbewerbsorientiertes und fesselndes Element hinzufügen, motivieren Sie sie, nicht nur zu "spielen", sondern immer wieder zurückzukehren, um mehr Punkte zu sammeln, Highscores zu schlagen, genauer zu werden und die anderen Teammitglieder herauszufordern.

Wir wissen bereits, dass erfolgreiches Training in etwa so aussieht:

  • Entwickler können in echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten
  • Die Challenges sind kurz und decken alle gängigen Sicherheitslücken ab
  • Herausforderungen werden ständig erweitert und aktualisiert, so dass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können
  • Die Herausforderungen variieren in ihrer Komplexität, so dass sie sowohl für erfahrene als auch für weniger erfahrene Entwickler interessant sind
  • Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für das Training aufgewendeten Zeit und ihrer Gesamtgenauigkeit.

Einer unserer größten Kunden zeigte die wahre Magie einer gamifizierten Plattform bei der Einführung, indem er seine Entwickler mit thematischer Teamkleidung ausstattete, tolle Preise für die Gewinner der Spiele auslobte und tournament wirklich zu einem unvergesslichen Tag machte. Seitdem haben sie internationale Wettbewerbe angeboten, und ihr gesamtes Team sammelt bis heute fleißig Trainingsstunden.

Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist führend bei der Einführung von gamifizierten Schulungen im Kampf gegen schlechten Code, in einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt - sehen Sie sich nur an, was unser Kunde mit seinem Next-Level tournament gemacht hat. Sind Sie bereit, Ihr Team mit uns auf ein neues Level zu bringen?

Wir müssen daran arbeiten, die Konversation zu ändern, um Sicherheit zu einem integralen Bestandteil des Arbeitslebens eines jeden Entwicklers zu machen. Und ich denke, eine der besten Möglichkeiten, dies zu tun, ist, Entwickler zu befähigen und mit ihnen über Sicherheit zu sprechen, zum Beispiel durch Gamification.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.