Warum Gamification der Schlüssel zur Verbesserung der Sicherheit Ihrer Software ist

AppSec-Manager, CISO, CIO und Cybersicherheitsexperten: Ich habe im Laufe meiner eigenen Karriere in der Softwareentwicklung und im Sicherheitsbereich mit vielen von ihnen gesprochen, die in allen möglichen Unternehmen auf der ganzen Welt tätig sind.

Unabhängig davon, wie unterschiedlich Ihre Situation, die Erfahrung Ihres Teams oder die Zeit, die Sie in dieser sich ständig verändernden digitalen Welt verbringen, auch sein mögen, gibt es ein Problem, das immer dasselbe ist: Sie sind selten in der Lage, Ihr Entwicklungsteam positiv in Sicherheitsfragen einzubeziehen. Sicherheit ist nach wie vor ein Tabuthema, eine Quelle von Konflikten zwischen den Teams und ein echtes Problem für die Branche.

Die Sicherheit von Software ist jedoch einfach zu wichtig, als dass wir mit unserer allgemeinen Denkweise so weitermachen könnten. Wir müssen daran arbeiten, das Gespräch zu ändern und Sicherheit zu einem integralen Bestandteil des Arbeitsalltags jedes Entwicklers zu machen. Und ich glaube, eine der besten Möglichkeiten, dies zu erreichen, besteht darin, Entwickler zu befähigen und mit ihnen in Bezug auf Sicherheit zu interagieren, beispielsweise durch Gamification.

Die aktuelle Lage

Entwickler verlassen die Universität mit sehr geringen praktischen Kenntnissen über die Bereitstellung von sicherem Code und arbeiten in Berufen, in denen Sicherheitsschulungen selten Priorität haben (und wenn doch, dann sind sie meist Teil der obligatorischen Videos zu Gesundheits- und Sicherheitsvorschriften, die so langweilig sind, dass sich niemand für sicheres Codieren begeistern kann). Sehr oft ist ihre erste Erfahrung mit Sicherheit ein Bericht über einen Fehler in einem Audit oder Test, der plötzlich die Veröffentlichung einer zukünftigen Version stoppt und zu einer sofortigen und vorrangigen Unterbrechung ihres kreativen Denkens wird. Sie sind mit den Verantwortlichen für die Sicherheitsberichte nicht einverstanden und denken daher, dass „Sicherheit” zum Synonym für „Kritik” wird. Wie ekelhaft.

Es ist wirklich schade, dass diese negative Wahrnehmung der Softwaresicherheit so weit verbreitet ist. Schließlich gehören einige meiner schönsten Erinnerungen an meine Karriere zum Thema Software-Sicherheit. In meinen Anfängen als Hacker besuchte ich Konferenzen, auf denen ich nicht nur meine Fähigkeiten unter Beweis stellen (und, ehrlich gesagt, ein wenig angeben) konnte, sondern auch viel Spaß dabei hatte, Gleichgesinnte kennenzulernen, die genauso viel Freude am Entwickeln von Software hatten wie ich.

BruCon, DefCon, BlackHat... Diese Veranstaltungen boten Menschen wie mir die Möglichkeit, unsere Fähigkeiten in einem freundschaftlichen Wettbewerb einzusetzen. Obwohl ich niemals zugeben würde, an solch unsozialen Veranstaltungen teilgenommen zu haben, zeigen einige sogar ihre Fähigkeiten als Hacker, indem sie die Telefone anderer Teilnehmer stehlen und deren Informationen auf den Präsentationsbildschirmen für alle sichtbar anzeigen. Es wurde zu einem Spiel, bei dem man nach diesen Fehlern suchte (sie ausnutzte und behebte), um die Software zu verbessern. Vor einigen Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten zu stehen und ihnen etwas über Cybersicherheit beizubringen. Ich erinnere mich noch gut an ein achtjähriges Mädchen unter meinen Schülern, das beim Spielen lernte, Passwörter mit Brute-Force-Angriffen zu knacken und in Base64 zu codieren.

Gamification wird auch zum Unterrichten von Programmierkenntnissen eingesetzt. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um schon sehr kleinen Kindern, sogar bis zum Alter der Sekundarschule, das Programmieren beizubringen. Kinder im Alter von nur vier Jahren nehmen mittlerweile regelmäßig an Weihnachtsinitiativen wie CodeCamp teil, und es gibt eine Reihe fantastischer Online-Programme, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar das unglaubliche bildschirmfreie Programmierwerkzeug Cubetto für meine vierjährige Tochter gekauft.

Trotz all dieser Unterhaltung und Fortschritte gibt es jedoch eine Lücke. Niemand hat daran gedacht, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.

Nun ja... fast niemand. Vor einigen Jahren wurde mir klar, dass wir die Sicherheit wieder inspirierend gestalten und die Entwickler wirklich motivieren mussten, sich zu engagieren und mitzumachen.

Gamifizierung: der einfachste Weg.

Ich habe den tiefen Wunsch, Entwickler mit Sicherheitskenntnissen zu fördern und zu schulen, und diese Leidenschaft hat mich dazu veranlasst, Secure Code Warrior zu gründen. Softwaresicherheit ist sehr wichtig und kann wirklich spannend sein.

Ich bin mit meinen Gedanken nicht allein.

Gamification kann selbst die alltäglichsten Aufgaben unterhaltsamer machen und Menschen so motivieren, dass sie weiter spielen, gewinnen und Fortschritte erzielen wollen. Schauen Sie sich nur an, wie Pokémon Go funktioniert! Selbst die faulsten Menschen hat es vom Sofa auf die Straße gelockt, um nach imaginären Kreaturen zu suchen, oder wie FitBit für viele zu einem täglichen Ziel wird, ihre Schrittzahl zu erreichen... Es entsteht ein echtes Gefühl der Enttäuschung, wenn diese Ziele nicht erreicht werden, wenn die Serien enden und keine Abzeichen gewonnen werden.

Kommen wir also zurück zum Thema Sicherheitsschulungen. Wir haben bei vielen Kunden gezeigt, dass Gamification der Schlüssel ist, um die Sicherheitskultur ihrer Unternehmen wirklich zu verändern, Brücken zwischen AppSec- und Entwicklungsteams zu schlagen und ihnen generell dabei zu helfen, Software auf einem höheren Niveau zu entwickeln.

Derzeit hat Sicherheit für den Entwickler keine Priorität. Indem Sie Ihren Trainingsmethoden ein freundschaftliches, wettbewerbsorientiertes und attraktives Element hinzufügen, motivieren Sie sie nicht nur zum „Spielen”, sondern auch dazu, weiterhin Punkte zu sammeln, Highscores zu knacken, ihre Genauigkeit zu verbessern und ihre Teamkollegen herauszufordern.

Wir wissen bereits, dass eine erfolgreiche Ausbildung in etwa so aussieht:

• Entwickler können mit echtem Code und in ihren eigenen Sprachen/Frameworks arbeiten.
• Die Herausforderungen sind kurz und decken alle gängigen Sicherheitslücken ab.
• Die Herausforderungen werden ständig erweitert und aktualisiert, damit die Entwickler ihre Fähigkeiten im Laufe der Zeit weiterentwickeln können.
• Die Herausforderungen variieren in ihrer Komplexität und sind daher sowohl für erfahrene Entwickler als auch für weniger erfahrene Entwickler attraktiv.
• Entwickler und ihre Vorgesetzten können den Fortschritt einsehen, einschließlich der abgeschlossenen Herausforderungen, ihrer Stärken und Schwächen, der für die Schulung aufgewendeten Zeit und ihrer allgemeinen Genauigkeit.

Einer unserer Hauptkunden zeigte bei der Einführung die wahre Magie einer Gamification-Plattform, indem er seinen Entwicklern themenbezogene Ausrüstung schenkte, den Gewinnern der Spiele unglaubliche Preise anbot und sein Turnier zu einem unvergesslichen Tag machte. Seitdem hat er internationale Wettbewerbe veranstaltet, und bis heute sammelt sein gesamtes Team weiterhin viele Stunden Training.

Ihre eigene Software-Revolution beginnt hier. Der australische Bankensektor ist Vorreiter bei der Einführung von gamifizierten Schulungen zur Bekämpfung falscher Codes, mit einem wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen auf den Kopf stellt. Sehen Sie sich einfach an, was unser Kunde mit seinem Turnier der nächsten Stufe erreicht hat. Sind Sie bereit, Ihr Team mit uns auf die nächste Stufe zu bringen?

Wir müssen daran arbeiten, das Gespräch zu verändern und Sicherheit zu einem integralen Bestandteil des Arbeitsalltags jedes Entwicklers zu machen. Und ich glaube, dass eine der besten Möglichkeiten dafür darin besteht, Entwickler zu befähigen und mit ihnen in Sachen Sicherheit zu interagieren, beispielsweise durch Gamification.