Eine Version dieses Artikels erschien in Forbes. Er wurde hier aktualisiert und syndiziert.
DerCybersecurity-Strategieplan sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler sind in einer einzigartigen Position, um bei der Erreichung dieser neuen Ziele zu helfen.
Die Behörde für Cybersicherheit und Infrastruktursicherheit(Cybersecurity and Infrastructure Security Agency, CISA) hat seit ihrer Gründung im Jahr 2018 nicht nur maßgeblich zum Schutz der kritischen Infrastrukturen und Computernetzwerke der Vereinigten Staaten beigetragen, sondern ihr Einfluss und ihr Fachwissen haben auch auf globaler Ebene Widerhall gefunden. Die umfassende Beratung, die Sicherheitshinweise, die Schwachstellenberichte und die Cybersicherheitsprogramme der Behörde haben einen globalen Maßstab für umsetzbare Best Practices gesetzt, was die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstreicht.
Der Einfluss und die Errungenschaften der CISA gehen weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, vor allem, wenn man bedenkt, dass es sie erst seit ein paar Jahren gibt. Dies ist nicht zuletzt auf das exponentielle Wachstum der Bedrohungslandschaft und die Tatsache zurückzuführen, dass die Angreifer bei ihren Einbruchs- und Ausbeutungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyber-Kriminelle und andere so genannte Bedrohungsakteure übernommen, indem sie methodisch Trends verfolgt und über bewährte Verfahren für die Cybersicherheit berät.
Trotz aller hilfreichen Ratschläge und Anleitungen hat die Behörde jedoch noch nie einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgibt. Dies ist nicht nur ein weiterer Plan, sondern ein Meilenstein, den viele Organisationen studieren und schließlich umsetzen wollen. Die Tatsache, dass der Plan große Veränderungen in der Art und Weise, wie Cybersicherheit angegangen wird, fordert, könnte die Befolgung dieser Anleitung zu einer Herausforderung machen, obwohl die Entwicklergemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Werkzeuge und die richtigen Wege zur Weiterbildung erhält.
Es liegt ein Wandel in der Luft für die besten Praktiken der globalen Cybersicherheit
Auf den ersten Blick könnte man im CISA-Strategieplan ein gewisses Maß an Frustration erkennen, aber die CISA erkennt einfach die Tatsache an, dass wir, wenn wir so weitermachen wie bisher, immer wieder die gleichen Ergebnisse sehen werden. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen in allen Bereichen erforderlich, auch bei den Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Mit dem Finger auf die Software zu zeigen, zumindest teilweise, ist ein Konzept, das schon früher eingeführt wurde. So heißt es in der Nationalen Sicherheitsstrategie der Vereinigten Staaten ausdrücklich, dass "mangelhafte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht." Der CISA-Strategieplan enthält eine neue Strategie, um dieses Dilemma anzugehen und zu lösen.
Die größte Veränderung im Bereich der Cybersicherheit, für die sich die CISA einsetzt, besteht darin, die Hersteller von Software aufzufordern, sichere Produkte zu liefern. Wenn bewährte Praktiken für die sichere Programmierung eingeführt und umgesetzt werden, wird es weit weniger Schwachstellen in der Software geben, vor allem keine größeren, die Angreifer ausnutzen können. Ja, hier und da könnte immer noch etwas übersehen werden, und es wird Sorgfalt erfordern, es zu finden und zu beheben, aber das ist eine überschaubare Angelegenheit im Vergleich zum derzeitigen Status quo: Hunderte von Schwachstellen, die jeden Tag entdeckt werden, überfordern die Verteidiger der Cybersicherheit. Die CISA erklärt in ihrem Plan sehr deutlich, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
"Als Gesellschaft können wir nicht länger ein Modell akzeptieren, bei dem jedes technologische Produkt von dem Moment an angreifbar ist, in dem es auf den Markt kommt, und bei dem die überwältigende Last der Sicherheit bei den einzelnen Organisationen und Benutzern liegt", heißt es im CISA-Strategieplan. "Technologien sollten so konzipiert, entwickelt und getestet werden, dass die Zahl der ausnutzbaren Schwachstellen minimiert wird, bevor sie auf den Markt kommen."
Der Plan deutet weiter an, dass dieser neue Ansatz letztendlich mehr als nur angedeutet sein könnte, indem er sagt, dass CISA "alle verfügbaren Hebel in Bewegung setzen wird, um die Risikoentscheidungen von Organisationsleitern zu beeinflussen". Es wird auch angedeutet, dass Gesetze wie der Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), der derzeit die Meldung von Cyber-Vorfällen regelt, als Modell dienen könnten, um die freiwillige Einhaltung dieser neuen Vorschriften schließlich zu einer Pflicht zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, diese neuen Leitlinien zu befolgen.
Die KAG-Leitlinien stellen eine wichtige Gelegenheit dar
Anstatt die Aussicht auf weitere potenzielle Vorschriften zu fürchten, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan für das Streben nach besserer, hochwertigerer Software einzusetzen. Dies ist nicht nur eine Aufforderung zur Einhaltung von Vorschriften, sondern eine Chance für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen: dem Unternehmen, das sie herstellt, den Benutzern, die sich auf sie verlassen, und den Personen, auf deren Daten die Software oder Anwendung zugreift oder sie speichert. Nur die Angreifer stehen mit leeren Händen da, wenn der Code, aus dem der Großteil der Software und der Anwendungen besteht, so sicher wie möglich gemacht wird, bevor er in eine Produktionsumgebung überführt wird.
In Anbetracht dieser neuen Richtung macht es Sinn, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Sourcecode verwenden, ein idealer Ausgangspunkt sind, wenn es darum geht, eine sicherere Kodierung zu implementieren und den CISA-Plan zu erfüllen. Aber die Entwickler können es nicht alleine schaffen, wenn sie nicht vom Rest des Unternehmens unterstützt werden, insbesondere von der oberen Führungsebene. Entwickler, die sich mit Schwachstellen auskennen, wissen, wie man sicheren Code schreibt und wie man Probleme erkennt, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für die Auslieferung von Code übernehmen und, wie CISA es ausdrückt, "sicherstellen, dass Schwachstellen entdeckt und behoben werden, bevor Angreifer sie nutzen können, um Schaden anzurichten."
Ein wichtiger Punkt ist, dass die Ausbildung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist ein schwieriges Unterfangen für jemanden, das Schreiben von sicherem Code zu erlernen, und Maßnahmen zur Einhaltung von Standards sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, leicht verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Programms zur Förderung des Sicherheitsbewusstseins bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau zu halten.
Idealerweise sollte die Fortbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme umfassen, die Entwickler tagtäglich anwenden, wie z. B. die Grundsätze der agilen Entwicklung. Bei der agilen Entwicklung zum Beispiel wird die Arbeit in überschaubare Abschnitte unterteilt, die in einem kontinuierlichen Zyklus aufeinander aufbauen. Ein gutes Schulungsprogramm, das agile Praktiken einbezieht, kann Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, so dass sie die ersten Vorteile erkennen und fast sofort mit einer sichereren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Kodierungspraktiken unterstützen und bereit sind, ihre Organisationen bei der Einhaltung der neuen CISA-Richtlinie zu unterstützen. In einer Umfrage unter mehr als 1.200 professionellen Entwicklern, die weltweit tätig sind, gab die überwältigende Mehrheit an, dass sie das Konzept der Erstellung von sicherem Code und der Schaffung einer besseren Sicherheitskultur in ihren Unternehmen unterstützen.
Die Entwickler brauchen präzise Ausbildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie sind auch bei ihren Bemühungen, die Richtlinien des neuen CISA-Strategieplans für Cybersicherheit einzuhalten oder zu übertreffen, der Zeit voraus.
Dieser vorgeschlagene Wandel in der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Chance, die Art der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben besser macht, nicht gleichzeitig von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen ruchlosen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.