Mit der richtigen Unterstützung können Entwickler ihr Unternehmen zu einer überdurchschnittlichen Einhaltung der PCI DSS 4.0-Standards führen.
Eine Version dieses Artikels erschien ursprünglich in Zona Dveröffentlicht. Er wurde aktualisiert und hier veröffentlicht.
Die Version 4.0 des Datensicherheitsstandards für die Zahlungskartenindustrie (PCI DSS) wird fast alles an der Sicherheit jedes Unternehmens oder jeder Organisation ändern, die elektronische Zahlungen akzeptiert, was auf die große Mehrheit von ihnen zutrifft. Und täuschen Sie sich nicht: Diese Aktualisierung wird für die meisten Unternehmen eine Umwälzung bedeuten, da sie sie dazu zwingen wird, viele ihrer Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in Bezug auf Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche zu implementieren, deren Einführung sie bisher vielleicht hinausgezögert haben.
Aufgrund der Komplexität der neuen Anforderungen haben Unternehmen bis März 2025 Zeit, um die Anforderungen vollständig zu erfüllen. Diese Frist wird jedoch schneller verstreichen, als die meisten Menschen glauben. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits jetzt Maßnahmen, um ihren Entwicklern die Navigation durch die bevorstehende Compliance-Landschaft zu ermöglichen.
Über die Präsenzausbildung hinaus
Die Entwickler einer Organisation schreiben den Code, auf dem ein Großteil ihrer Infrastruktur basiert. Daher ist es sinnvoll, dass sie ein guter Ausgangspunkt für die Umsetzung der neuen Anforderungen von PCI DSS 4.0 sind. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre Fähigkeiten im Rahmen eines aktualisierten Programms zur Sensibilisierung für Sicherheitsfragen zu verbessern. Damit soll sichergestellt werden, dass sie über die erforderlichen Kenntnisse verfügen, um die höchsten Sicherheitsstandards des neuen Standards umzusetzen und aufrechtzuerhalten.
Tatsächlich fordert die Anforderung 12.6.2 des PCI DSS 4.0 von Organisationen, ein formelles Sicherheitsprogramm zu implementieren und es mit den neuesten Informationen zu Bedrohungen und Abwehrtechniken auf dem neuesten Stand zu halten. Mit dem älteren Standard wurde das Ziel mit grundlegenden Sicherheitsprogrammen oder sogar mit jährlichen Compliance-Schulungen erreicht, bei denen es darum ging, „alle Kästchen anzukreuzen”. Diese neue Norm stellt viel höhere Anforderungen und verlangt sogar, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen der Unternehmensumgebung eingehen. Wenn beispielsweise Identitätsdiebstahl ein großes Problem für eine Organisation darstellt, muss dies in der Schulung behandelt werden.
Es ist klar, dass eine minimale Schulung weder aus praktischer Sicht noch zur Einhaltung der neuen Norm mehr ausreichend ist. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und den Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen, können Unternehmen ihren Entwicklern helfen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung und andere. Wenn Entwickler über die richtigen, relevanten und bekannten Ressourcen zur Entwicklung ihrer Fähigkeiten verfügen, können Unternehmen sie leichter auf die neuen Standards und die größeren Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringen wird.
Verwendung von PCI DSS 4.0 als Brücke zur Verbesserung der allgemeinen Sicherheit
Auch wenn es für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards entscheidend ist, den Entwicklern eine gute Sicherheitsschulung zukommen zu lassen, müssen die Bemühungen einer Organisation um eine bessere Cybersicherheit damit nicht unbedingt enden. Ja, die Anforderungen sind streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um sie zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Ausgangspunkt für eine stärkere Sensibilisierung und Schulung im Bereich Sicherheit im Allgemeinen zu nutzen. Dies wird dem Unternehmen nicht nur helfen, die Compliance-Anforderungen zu erfüllen, sondern auch eine positive Sicherheitskultur fördern, die bewährte Verfahren in den Vordergrund stellt und sicherstellt, dass alle Mitglieder des Unternehmens auf dasselbe Ziel hinarbeiten: Sicherheit steht an erster Stelle.
Es gibt natürlich eine Lernkurve, aber die Entwickler werden diesen Aufwand wahrscheinlich akzeptieren. In einer Umfrage von Evans Data unter mehr als 1200 professionellen Entwicklern, die weltweit aktiv sind, sprach sich die überwiegende Mehrheit dafür aus, sichere Codes zu erstellen und eine bessere Sicherheitskultur in ihren Unternehmen zu etablieren. Es ist klar, dass die meisten Entwickler eine strategische und unterstützte Umstellung auf sicheres Codieren und eine Neudefinition der Sicherheitsprioritäten als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupdates bieten Unternehmen einen perfekten Anlass, in bewährte Verfahren und Schulungen zum Thema Sicherheit zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb ihrer Organisation zu etablieren.
Entwickler können leichter ein höheres Sicherheitsniveau erreichen, wenn ihre Unternehmen in ein Programm investieren, das es ihnen ermöglicht, ihre Fähigkeiten im Bereich der sicheren Codierung mit den entsprechenden Tools und Schulungen zu integrieren. Dies kann wiederum dazu beitragen, eine Sicherheitskultur zu schaffen, in der Entwickler mehr Befugnisse haben, um bessere Entscheidungen zu treffen, die die allgemeine Sicherheitslage ihres Unternehmens verbessern, sogar über die neuen strengen PCI DSS 4.0-Standards hinaus.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien ursprünglich in Zona Dveröffentlicht. Er wurde aktualisiert und hier veröffentlicht.
Die Version 4.0 des Datensicherheitsstandards für die Zahlungskartenindustrie (PCI DSS) wird fast alles an der Sicherheit jedes Unternehmens oder jeder Organisation ändern, die elektronische Zahlungen akzeptiert, was auf die große Mehrheit von ihnen zutrifft. Und täuschen Sie sich nicht: Diese Aktualisierung wird für die meisten Unternehmen eine Umwälzung bedeuten, da sie sie dazu zwingen wird, viele ihrer Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in Bezug auf Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche zu implementieren, deren Einführung sie bisher vielleicht hinausgezögert haben.
Aufgrund der Komplexität der neuen Anforderungen haben Unternehmen bis März 2025 Zeit, um die Anforderungen vollständig zu erfüllen. Diese Frist wird jedoch schneller verstreichen, als die meisten Menschen glauben. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits jetzt Maßnahmen, um ihren Entwicklern die Navigation durch die bevorstehende Compliance-Landschaft zu ermöglichen.
Über die Präsenzausbildung hinaus
Die Entwickler einer Organisation schreiben den Code, auf dem ein Großteil ihrer Infrastruktur basiert. Daher ist es sinnvoll, dass sie ein guter Ausgangspunkt für die Umsetzung der neuen Anforderungen von PCI DSS 4.0 sind. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre Fähigkeiten im Rahmen eines aktualisierten Programms zur Sensibilisierung für Sicherheitsfragen zu verbessern. Damit soll sichergestellt werden, dass sie über die erforderlichen Kenntnisse verfügen, um die höchsten Sicherheitsstandards des neuen Standards umzusetzen und aufrechtzuerhalten.
Tatsächlich fordert die Anforderung 12.6.2 des PCI DSS 4.0 von Organisationen, ein formelles Sicherheitsprogramm zu implementieren und es mit den neuesten Informationen zu Bedrohungen und Abwehrtechniken auf dem neuesten Stand zu halten. Mit dem älteren Standard wurde das Ziel mit grundlegenden Sicherheitsprogrammen oder sogar mit jährlichen Compliance-Schulungen erreicht, bei denen es darum ging, „alle Kästchen anzukreuzen”. Diese neue Norm stellt viel höhere Anforderungen und verlangt sogar, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen der Unternehmensumgebung eingehen. Wenn beispielsweise Identitätsdiebstahl ein großes Problem für eine Organisation darstellt, muss dies in der Schulung behandelt werden.
Es ist klar, dass eine minimale Schulung weder aus praktischer Sicht noch zur Einhaltung der neuen Norm mehr ausreichend ist. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und den Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen, können Unternehmen ihren Entwicklern helfen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung und andere. Wenn Entwickler über die richtigen, relevanten und bekannten Ressourcen zur Entwicklung ihrer Fähigkeiten verfügen, können Unternehmen sie leichter auf die neuen Standards und die größeren Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringen wird.
Verwendung von PCI DSS 4.0 als Brücke zur Verbesserung der allgemeinen Sicherheit
Auch wenn es für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards entscheidend ist, den Entwicklern eine gute Sicherheitsschulung zukommen zu lassen, müssen die Bemühungen einer Organisation um eine bessere Cybersicherheit damit nicht unbedingt enden. Ja, die Anforderungen sind streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um sie zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Ausgangspunkt für eine stärkere Sensibilisierung und Schulung im Bereich Sicherheit im Allgemeinen zu nutzen. Dies wird dem Unternehmen nicht nur helfen, die Compliance-Anforderungen zu erfüllen, sondern auch eine positive Sicherheitskultur fördern, die bewährte Verfahren in den Vordergrund stellt und sicherstellt, dass alle Mitglieder des Unternehmens auf dasselbe Ziel hinarbeiten: Sicherheit steht an erster Stelle.
Es gibt natürlich eine Lernkurve, aber die Entwickler werden diesen Aufwand wahrscheinlich akzeptieren. In einer Umfrage von Evans Data unter mehr als 1200 professionellen Entwicklern, die weltweit aktiv sind, sprach sich die überwiegende Mehrheit dafür aus, sichere Codes zu erstellen und eine bessere Sicherheitskultur in ihren Unternehmen zu etablieren. Es ist klar, dass die meisten Entwickler eine strategische und unterstützte Umstellung auf sicheres Codieren und eine Neudefinition der Sicherheitsprioritäten als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupdates bieten Unternehmen einen perfekten Anlass, in bewährte Verfahren und Schulungen zum Thema Sicherheit zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb ihrer Organisation zu etablieren.
Entwickler können leichter ein höheres Sicherheitsniveau erreichen, wenn ihre Unternehmen in ein Programm investieren, das es ihnen ermöglicht, ihre Fähigkeiten im Bereich der sicheren Codierung mit den entsprechenden Tools und Schulungen zu integrieren. Dies kann wiederum dazu beitragen, eine Sicherheitskultur zu schaffen, in der Entwickler mehr Befugnisse haben, um bessere Entscheidungen zu treffen, die die allgemeine Sicherheitslage ihres Unternehmens verbessern, sogar über die neuen strengen PCI DSS 4.0-Standards hinaus.
Eine Version dieses Artikels erschien ursprünglich in Zona Dveröffentlicht. Er wurde aktualisiert und hier veröffentlicht.
Die Version 4.0 des Datensicherheitsstandards für die Zahlungskartenindustrie (PCI DSS) wird fast alles an der Sicherheit jedes Unternehmens oder jeder Organisation ändern, die elektronische Zahlungen akzeptiert, was auf die große Mehrheit von ihnen zutrifft. Und täuschen Sie sich nicht: Diese Aktualisierung wird für die meisten Unternehmen eine Umwälzung bedeuten, da sie sie dazu zwingen wird, viele ihrer Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in Bezug auf Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche zu implementieren, deren Einführung sie bisher vielleicht hinausgezögert haben.
Aufgrund der Komplexität der neuen Anforderungen haben Unternehmen bis März 2025 Zeit, um die Anforderungen vollständig zu erfüllen. Diese Frist wird jedoch schneller verstreichen, als die meisten Menschen glauben. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits jetzt Maßnahmen, um ihren Entwicklern die Navigation durch die bevorstehende Compliance-Landschaft zu ermöglichen.
Über die Präsenzausbildung hinaus
Die Entwickler einer Organisation schreiben den Code, auf dem ein Großteil ihrer Infrastruktur basiert. Daher ist es sinnvoll, dass sie ein guter Ausgangspunkt für die Umsetzung der neuen Anforderungen von PCI DSS 4.0 sind. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre Fähigkeiten im Rahmen eines aktualisierten Programms zur Sensibilisierung für Sicherheitsfragen zu verbessern. Damit soll sichergestellt werden, dass sie über die erforderlichen Kenntnisse verfügen, um die höchsten Sicherheitsstandards des neuen Standards umzusetzen und aufrechtzuerhalten.
Tatsächlich fordert die Anforderung 12.6.2 des PCI DSS 4.0 von Organisationen, ein formelles Sicherheitsprogramm zu implementieren und es mit den neuesten Informationen zu Bedrohungen und Abwehrtechniken auf dem neuesten Stand zu halten. Mit dem älteren Standard wurde das Ziel mit grundlegenden Sicherheitsprogrammen oder sogar mit jährlichen Compliance-Schulungen erreicht, bei denen es darum ging, „alle Kästchen anzukreuzen”. Diese neue Norm stellt viel höhere Anforderungen und verlangt sogar, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen der Unternehmensumgebung eingehen. Wenn beispielsweise Identitätsdiebstahl ein großes Problem für eine Organisation darstellt, muss dies in der Schulung behandelt werden.
Es ist klar, dass eine minimale Schulung weder aus praktischer Sicht noch zur Einhaltung der neuen Norm mehr ausreichend ist. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und den Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen, können Unternehmen ihren Entwicklern helfen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung und andere. Wenn Entwickler über die richtigen, relevanten und bekannten Ressourcen zur Entwicklung ihrer Fähigkeiten verfügen, können Unternehmen sie leichter auf die neuen Standards und die größeren Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringen wird.
Verwendung von PCI DSS 4.0 als Brücke zur Verbesserung der allgemeinen Sicherheit
Auch wenn es für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards entscheidend ist, den Entwicklern eine gute Sicherheitsschulung zukommen zu lassen, müssen die Bemühungen einer Organisation um eine bessere Cybersicherheit damit nicht unbedingt enden. Ja, die Anforderungen sind streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um sie zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Ausgangspunkt für eine stärkere Sensibilisierung und Schulung im Bereich Sicherheit im Allgemeinen zu nutzen. Dies wird dem Unternehmen nicht nur helfen, die Compliance-Anforderungen zu erfüllen, sondern auch eine positive Sicherheitskultur fördern, die bewährte Verfahren in den Vordergrund stellt und sicherstellt, dass alle Mitglieder des Unternehmens auf dasselbe Ziel hinarbeiten: Sicherheit steht an erster Stelle.
Es gibt natürlich eine Lernkurve, aber die Entwickler werden diesen Aufwand wahrscheinlich akzeptieren. In einer Umfrage von Evans Data unter mehr als 1200 professionellen Entwicklern, die weltweit aktiv sind, sprach sich die überwiegende Mehrheit dafür aus, sichere Codes zu erstellen und eine bessere Sicherheitskultur in ihren Unternehmen zu etablieren. Es ist klar, dass die meisten Entwickler eine strategische und unterstützte Umstellung auf sicheres Codieren und eine Neudefinition der Sicherheitsprioritäten als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupdates bieten Unternehmen einen perfekten Anlass, in bewährte Verfahren und Schulungen zum Thema Sicherheit zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb ihrer Organisation zu etablieren.
Entwickler können leichter ein höheres Sicherheitsniveau erreichen, wenn ihre Unternehmen in ein Programm investieren, das es ihnen ermöglicht, ihre Fähigkeiten im Bereich der sicheren Codierung mit den entsprechenden Tools und Schulungen zu integrieren. Dies kann wiederum dazu beitragen, eine Sicherheitskultur zu schaffen, in der Entwickler mehr Befugnisse haben, um bessere Entscheidungen zu treffen, die die allgemeine Sicherheitslage ihres Unternehmens verbessern, sogar über die neuen strengen PCI DSS 4.0-Standards hinaus.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien ursprünglich in Zona Dveröffentlicht. Er wurde aktualisiert und hier veröffentlicht.
Die Version 4.0 des Datensicherheitsstandards für die Zahlungskartenindustrie (PCI DSS) wird fast alles an der Sicherheit jedes Unternehmens oder jeder Organisation ändern, die elektronische Zahlungen akzeptiert, was auf die große Mehrheit von ihnen zutrifft. Und täuschen Sie sich nicht: Diese Aktualisierung wird für die meisten Unternehmen eine Umwälzung bedeuten, da sie sie dazu zwingen wird, viele ihrer Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in Bezug auf Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche zu implementieren, deren Einführung sie bisher vielleicht hinausgezögert haben.
Aufgrund der Komplexität der neuen Anforderungen haben Unternehmen bis März 2025 Zeit, um die Anforderungen vollständig zu erfüllen. Diese Frist wird jedoch schneller verstreichen, als die meisten Menschen glauben. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits jetzt Maßnahmen, um ihren Entwicklern die Navigation durch die bevorstehende Compliance-Landschaft zu ermöglichen.
Über die Präsenzausbildung hinaus
Die Entwickler einer Organisation schreiben den Code, auf dem ein Großteil ihrer Infrastruktur basiert. Daher ist es sinnvoll, dass sie ein guter Ausgangspunkt für die Umsetzung der neuen Anforderungen von PCI DSS 4.0 sind. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre Fähigkeiten im Rahmen eines aktualisierten Programms zur Sensibilisierung für Sicherheitsfragen zu verbessern. Damit soll sichergestellt werden, dass sie über die erforderlichen Kenntnisse verfügen, um die höchsten Sicherheitsstandards des neuen Standards umzusetzen und aufrechtzuerhalten.
Tatsächlich fordert die Anforderung 12.6.2 des PCI DSS 4.0 von Organisationen, ein formelles Sicherheitsprogramm zu implementieren und es mit den neuesten Informationen zu Bedrohungen und Abwehrtechniken auf dem neuesten Stand zu halten. Mit dem älteren Standard wurde das Ziel mit grundlegenden Sicherheitsprogrammen oder sogar mit jährlichen Compliance-Schulungen erreicht, bei denen es darum ging, „alle Kästchen anzukreuzen”. Diese neue Norm stellt viel höhere Anforderungen und verlangt sogar, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen der Unternehmensumgebung eingehen. Wenn beispielsweise Identitätsdiebstahl ein großes Problem für eine Organisation darstellt, muss dies in der Schulung behandelt werden.
Es ist klar, dass eine minimale Schulung weder aus praktischer Sicht noch zur Einhaltung der neuen Norm mehr ausreichend ist. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und den Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen, können Unternehmen ihren Entwicklern helfen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.
Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung und andere. Wenn Entwickler über die richtigen, relevanten und bekannten Ressourcen zur Entwicklung ihrer Fähigkeiten verfügen, können Unternehmen sie leichter auf die neuen Standards und die größeren Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringen wird.
Verwendung von PCI DSS 4.0 als Brücke zur Verbesserung der allgemeinen Sicherheit
Auch wenn es für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards entscheidend ist, den Entwicklern eine gute Sicherheitsschulung zukommen zu lassen, müssen die Bemühungen einer Organisation um eine bessere Cybersicherheit damit nicht unbedingt enden. Ja, die Anforderungen sind streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um sie zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Ausgangspunkt für eine stärkere Sensibilisierung und Schulung im Bereich Sicherheit im Allgemeinen zu nutzen. Dies wird dem Unternehmen nicht nur helfen, die Compliance-Anforderungen zu erfüllen, sondern auch eine positive Sicherheitskultur fördern, die bewährte Verfahren in den Vordergrund stellt und sicherstellt, dass alle Mitglieder des Unternehmens auf dasselbe Ziel hinarbeiten: Sicherheit steht an erster Stelle.
Es gibt natürlich eine Lernkurve, aber die Entwickler werden diesen Aufwand wahrscheinlich akzeptieren. In einer Umfrage von Evans Data unter mehr als 1200 professionellen Entwicklern, die weltweit aktiv sind, sprach sich die überwiegende Mehrheit dafür aus, sichere Codes zu erstellen und eine bessere Sicherheitskultur in ihren Unternehmen zu etablieren. Es ist klar, dass die meisten Entwickler eine strategische und unterstützte Umstellung auf sicheres Codieren und eine Neudefinition der Sicherheitsprioritäten als Teil des Entwicklungsprozesses begrüßen.
Die von PCI DSS 4.0 geforderten Sicherheitsupdates bieten Unternehmen einen perfekten Anlass, in bewährte Verfahren und Schulungen zum Thema Sicherheit zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb ihrer Organisation zu etablieren.
Entwickler können leichter ein höheres Sicherheitsniveau erreichen, wenn ihre Unternehmen in ein Programm investieren, das es ihnen ermöglicht, ihre Fähigkeiten im Bereich der sicheren Codierung mit den entsprechenden Tools und Schulungen zu integrieren. Dies kann wiederum dazu beitragen, eine Sicherheitskultur zu schaffen, in der Entwickler mehr Befugnisse haben, um bessere Entscheidungen zu treffen, die die allgemeine Sicherheitslage ihres Unternehmens verbessern, sogar über die neuen strengen PCI DSS 4.0-Standards hinaus.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.