Perspektiven zum sicheren Code

Die durch KI vorangetriebene Entwicklung hat eine völlig neue Art von Software-Risiken mit sich gebracht. Schnell-Injektionen, Manipulationen von RAGs und übermäßige Berechtigungen von Agenten sind keine theoretischen Fragen mehr, sondern aktive Realitäten in modernen Anwendungen.

Entwickler benötigen praktische Erfahrungen mit diesen neuen Bedrohungsmustern in Umgebungen, die die Komplexität der realen Welt widerspiegeln. Aus diesem Grund haben wir die Missionen für AI/LLM-Bosse aus Cybermon 2025 umgestaltet, die nun nicht mehr nur eine begrenzte Event-Erfahrung sind, sondern eine Sammlung von Missionsthemen, die in Secure Code Warrior eingesetzt werden können. Wenn Sie eine neue Mission erstellen, finden Sie die Sammlung „Cybermon 2025: Beat the Boss“ im Abschnitt „Spezifische Konzepte“ unter „Sicherheitskonzepte“.

Cybermon 2025: Derrota al jefe ermöglicht es Unternehmen, diese hochkomplexen Sicherheitsherausforderungen im Bereich KI jederzeit in ihre Programme zur sicheren Codierung zu integrieren.

Was ist Beat the Boss?

Beat the Boss vereint vier fortgeschrittene AI/LLM-Herausforderungen, die entwickelt wurden, um die Fähigkeit zur Entwicklung sicherer KI in der realen Welt zu testen.

Jedes Thema umfasst ein kurzes Einführungsvideo und einen Leitfaden, ein geführtes Warm-up-Tutorial und die ursprüngliche, sehr schwierige Boss-Mission von Cybermon 2025. Diese immersiven Szenarien konzentrieren sich auf praktische Lektionen zu Schwachstellen der KI, die Entwickler verstehen müssen, wenn sie KI-kompatible Anwendungen weiterentwickeln.

Jede der vier Boss-Missionen zielt auf einen anderen KI-Risikobereich ab und simuliert die Bedrohungsmuster der realen Welt in KI-gesteuerten Systemen:

• Bypassaur – Sofortige direkte Injektion
• Keykraken – Indirekte Sofortinjektion
• Promptgeist — Vektorielle Schwächen und Einbettungsschwächen
• Proxysurfa – Übermäßige Agentur

Führen Sie es auf Ihre Weise aus.

Wir empfehlen, jeweils nur einen Vorgesetzten hervorzuheben, um jeder Schwachstelle die gebührende Aufmerksamkeit zu widmen. Viele Organisationen entscheiden sich dafür, Folgendes zu leiten:

• Ein Chef pro Woche als Sprint mit Schwerpunkt auf KI-Sicherheit
• O una por mes como iniciativa de «Vulnerabilidad del mes»

Der strukturierte Implementierungsleitfaden und die herunterladbaren Markenressourcen sind in der Wissensdatenbank für Administratoren verfügbar, die interne Veranstaltungen konfigurieren:
Cybermon 2025: Organisieren Sie Ihre eigene „Beat the Boss”-Veranstaltung

Die Vorbereitung auf die Sicherheit der KI in die Praxis umsetzen

Die durch KI beschleunigte Entwicklung verändert die Risikolandschaft von Software. Die neuen Arten von Schwachstellen erfordern mehr als nur Bewusstsein: Sie erfordern angewandte Erfahrung.

Beat the Boss ermöglicht es Unternehmen, die sich entwickelnden Bedrohungsmuster der KI in praktische Fähigkeiten für Entwickler umzusetzen.

Entwickler können jede Herausforderung einzeln ausprobieren und anschließend die Schritt-für-Schritt-Lösungswege durchgehen, um ihr Verständnis für die Denkweise von Angreifern und Verteidigungsstrategien zu vertiefen. Es gibt ausführliche Erklärvideos zur Lösung, die nach der Herausforderung zum Lernen zur Verfügung stehen:

Viele Teams erweitern ihre Erfahrung durch interne Wissensaustauschsitzungen, wodurch das ereignisbasierte Lernen von einem Wettbewerb zu einer Zusammenarbeit wird. Sicherheit und Entwicklung sind Mannschaftssportarten. Unternehmen sind besser geschützt, wenn Entwickler, Sicherheitsbeauftragte und Ingenieurteams zusammenarbeiten, um die wachsende Angriffsfläche der KI zu verstehen und zu mindern. Die Durchführung von Informationsveranstaltungen, gemeinsame Überprüfungen von Lösungen und Diskussionen zwischen Teams tragen dazu bei, die Bewältigung individueller Herausforderungen in eine kollektive Fähigkeit zu verwandeln.

Durch die Integration von Beat the Boss in Ihre Initiativen zur sicheren Codierung stärken Sie die sichere Einführung von KI und entwickeln gleichzeitig eine messbare Reife in Bezug auf die KI-Sicherheit in allen Ihren Entwicklungsteams.

Beginnen

Wenn Sie eine neue Mission erstellen, finden Sie die Sammlung „Cybermon 2025: Beat the Boss” im Abschnitt „Spezifische Konzepte” unter „Sicherheitskonzepte”. Melden Sie sich bei Ihrem Secure Code Warrior-Konto an, um Ihre Implementierung zu konfigurieren und die sichere Entwicklung von KI in Ihren Teams zu stärken.

Das Gesetz zur Cyberresilienz wird schnell zu einer strategischen Priorität, nicht nur für Unternehmen mit Sitz in der EU, sondern für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen. Obwohl die Fristen für die Einhaltung bis 2027 verlängert wurden, stellen sich die Ingenieur- und Sicherheitsteams bereits schwierige Fragen zu sicheren Designpraktiken, zum Umgang mit Schwachstellen und zur Entwicklungskapazität.

Im Gegensatz zu vielen Vorschriften, die sich auf Dokumentation und Audits konzentrieren, stellt die CRA die sichere Softwareentwicklung und -gestaltung in den Mittelpunkt der Compliance. Unternehmen, die von Anfang an in sichere Entwicklungskapazitäten investieren, werden schneller die Compliance erreichen und sich in einem Markt hervorheben, in dem die Produktsicherheit zunehmend zu einem Kaufkriterium wird.

Was verlangt das Gesetz zur Cyberresilienz?

Das Gesetz zur Cyberresilienz (CRA) führt grundlegende Cybersicherheitsanforderungen für die meisten Produkte mit einer digitalen Komponente ein, die auf dem EU-Markt vertrieben werden, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.

Und was noch wichtiger ist: Es verändert, wo die Verantwortung liegt.

Sicherheit ist nicht mehr nur ein operatives Problem oder eine Frage der Ausführungszeit. Laut CRA wird sie zu einer Verpflichtung im Bereich Design und Entwicklung, die die Architektur, die Implementierung, die Wartung und den Umgang mit Schwachstellen umfasst.

Für die Verantwortlichen in den Bereichen Technik und Sicherheit bedeutet dies:

• Die Produkte müssen gemäß den Grundsätzen der Sicherheit durch Design hergestellt werden.
• Bekannte Schwachstellen sollten nach Möglichkeit verhindert und effektiv behandelt werden.
• Unternehmen müssen nachweisen, dass sie sichere Entwicklungspraktiken anwenden.

Zusammenfassend lässt sich sagen: Die Einhaltung von Standards ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und pflegen.

Für wen gilt die CRA?

Obwohl sie von der EU eingeführt wurde, gilt die CRA für alle Organisationen weltweit, die digitale Produkte auf den EU-Markt bringen, darunter:

• Softwareanbieter und SaaS-Anbieter, deren Dienste als Komponenten zur Fernverarbeitung von Daten der abgedeckten Produkte fungieren
• Hersteller digitaler oder vernetzter Produkte
• Importeure, Händler und Einzelhändler
• Organisationen, die digitale Komponenten von Drittanbietern integrieren

Für globale Unternehmen ist die Vorbereitung auf die CRA eine Voraussetzung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.

Warum beginnen Organisationen jetzt damit?

Schlüsselbegriffe:

• September 2026 – Die Meldepflicht für Sicherheitslücken tritt in Kraft.
• Dezember 2027 – Vollständige Einhaltung erforderlich

Auf dem Papier mag dieser Zeitplan bequem erscheinen. In Wirklichkeit vollzieht sich die Transformation der Entwicklung nicht in Quartalen, sondern über Jahre hinweg.

Secure by Design ist keine Aktualisierung von Richtlinien. Es erfordert:

• Wir verbessern die Fähigkeiten von Tausenden von Entwicklern in verschiedenen Sprachen und Teams.
• Sichere Designanforderungen in die täglichen Arbeitsabläufe integrieren
• Von der reaktiven Behebung der Schwachstelle zur Prävention übergehen
• Messbare Nachweise dafür schaffen, dass sichere Entwicklungspraktiken konsequent angewendet werden

Diese Veränderungen wirken sich auf die Personalbeschaffung, die Einarbeitung neuer Mitarbeiter, architektonische Entscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die sich bis Ende 2026 Zeit lassen, werden unter dem Druck der Regulierungsbehörden versuchen, ihre Kapazitäten zu modernisieren – eine Option, die mit wesentlich höheren Kosten und größeren Störungen verbunden ist.

Die Umsetzung birgt auch ein erhebliches finanzielles Risiko. Gemäß Artikel 64 der CRA können die Strafen für Verstöße gegen die grundlegenden Anforderungen an die Cybersicherheit bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes betragen.

Bis Ende 2026 zu warten, ist einfach zu spät.

Die CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.

Viele Vorschriften konzentrieren sich auf Richtlinien und Dokumentation. Die CRA geht darüber hinaus, indem sie die Einhaltung mit den tatsächlichen Praktiken bei der Entwicklung und Erstellung von Software verknüpft. Sie erhöht die Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.

Für die Führungskräfte im Ingenieurwesen bedeutet dies, dass die Einhaltung von Vorschriften davon abhängt, ob die Entwicklungsteams konsequent sichere Praktiken anwenden, darunter:

• Verständnis der häufigsten Arten von Verwundbarkeit
• Anwendung sicherer Design- und Architekturprinzipien
• Vermeiden Sie unsichere Implementierungsmuster
• Verantwortungsvoller Umgang mit Komponenten von Drittanbietern und Open-Source-Komponenten

Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings zeigen diese Tools ihre Schwächen erst, wenn der Code geschrieben ist. Sicherheit aus Sicht des Designs erfordert, dass Entwickler Schwachstellen von vornherein vermeiden und dies einheitlich für alle Teams, Sprachen und Produkte tun.

Werkzeuge allein können dies nicht leisten. Sichere Konstruktionsergebnisse hängen von menschlichen Fähigkeiten ab.

Wie Secure Code Warrior die Vorbereitung auf die CRA Secure Code Warrior

Secure Code Warrior CRA-konforme Lernpfade, die Folgendes kombinieren:

• UN-CRA-Standard-Quest, kartiert gemäß den Anforderungen an die technische Anfälligkeit in Teil I des Anhangs I
• UN-Konzeptsammlung „Sicherheit durch Design“
• Praktisches und spezifisches Lernen über Vulnerabilität in einer Sprache

Lesen Sie unseren einseitigen Leitfaden zu allen CRA-konformen Lerninhalten bei SCW. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Verbesserung der Fähigkeiten, die mit den Grundsätzen der sicheren Entwicklung der Vorschriften im Einklang stehen.

Beginnen Sie jetzt mit den Vorbereitungen für die CRA.

Die CRA spiegelt wider, wohin sich die Branche entwickelt: Design Engineering als Standard zu etablieren. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, sind besser positioniert, um die Standards zu erfüllen und langfristig widerstandsfähigere Software mit geringerem Risiko zu entwickeln.

Weitere Informationen darüber, wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior

Wir beginnen unsere eingehende Betrachtung der 10 Erfolgsfaktoren mit dem grundlegenden Schritt des ersten Erfolgsfaktors: Definierte und messbare Erfolgskriterien. Wenn ein sicheres Programmierprogramm eine Reise ist, dann ist der erste und wichtigste Schritt, genau zu wissen, wohin die Reise geht. Das ist der Kern des ersten Erfolgsfaktors.

Erfolgskriterien mit den Unternehmensergebnissen verknüpfen

Die Erstellung eines erfolgreichen Programms für sichere Kodierung erfordert klare Ziele, die eng mit den Unternehmensergebnissen verbunden sind. Enabler 1 beantwortet die wichtigsten Fragen: „Was ist, in sehr spezifischen und messbaren Begriffen, das Problem oder die Schwachstelle, die wir mit unserem Programm für sichere Kodierung zu lösen versuchen?“

Vielleicht möchte Ihr Unternehmen Compliance-Anforderungen erfüllen oder Sicherheitslücken und Cyberangriffe vermeiden. Oder vielleicht möchten Sie als Unternehmen einen Neuanfang machen, Kosten und Nachbearbeitungszeit reduzieren, indem Sie Entwickler darin schulen, von Anfang an sicher zu programmieren.

Unabhängig von Ihren Beweggründen, dem aktuellen Stand Ihrer Organisation oder sogar der von Ihnen gewählten Sicherheitsausbildungsplattform hängt der langfristige Erfolg Ihres Programms in hohem Maße davon ab, dass Sie klar definierte Ziele haben, die mit den Unternehmenszielen verknüpft sind, um Akzeptanz zu erreichen und einen dauerhaften Erfolg zu gewährleisten.

Berücksichtigen Sie bei der Festlegung der Erfolgskriterien die wichtigsten Stakeholder Ihres Programms. Wenn Sie Ihre Sponsoren in der Führungsetage und deren Geschäftsziele kennen, können Sie eine breitere Akzeptanz in allen Abteilungen erreichen.

Erfolg greifbar und messbar machen

Diese Ziele müssen naturgemäß spezifisch auf Ihre Organisation zugeschnitten sein. Sehen Sie sich dennoch diese typischen Unternehmensziele an und überlegen Sie, wie sie Sie zu weiteren Ideen inspirieren könnten:

Risikominderung: Mindern Sie Entwicklerrisiken und reduzieren Sie Schwachstellen, die durch Fehler im Code entstehen. Dazu gehören die Identifizierung von Risiken und die Verringerung der Angriffsfläche von Anwendungen.

Programme zielen häufig auf Kennzahlen wie die Reduzierung und Vermeidung der Schwachstellendichte oder der Schwachstellen-Injektionsrate ab.

Operative Geschwindigkeit: Maximieren Sie die Geschwindigkeit der Produktlieferung, reduzieren Sie die Frustration und Fluktuation der Entwickler und verringern Sie den Zeitaufwand für Nacharbeiten. Schulungen zum Thema sicherer Code sind ein wichtiger Anreiz für Entwickler, da sie ihnen helfen, zeitaufwändige Nacharbeiten an fehlerhaftem Code zu vermeiden, der erst später im Softwareentwicklungszyklus entdeckt wird.

Programme zielen häufig darauf ab, die durchschnittliche Zeit bis zur Behebung (MTTR) von Schwachstellen durch Entwickler zu reduzieren.

Einhaltung gesetzlicher Vorschriften: Erreichen Sie externe Compliance, beispielsweise durch die Einhaltung von Standards wie PCI-DSS (der Schulungen für alle Entwickler vorschreibt, die an Zahlungssystemen arbeiten).

Talent und Vertrauen: Steigern Sie das Engagement und das Bewusstsein für Sicherheit und Schwachstellen innerhalb der Entwicklerorganisation und stärken Sie gleichzeitig das Vertrauen Ihrer Kunden. Für einige Unternehmen tragen sicherheitsbewusste Entwickler dazu bei, sich vom Markt abzuheben.

Programme legen häufig Mindestanforderungen an die Fähigkeiten von Entwicklern fest oder schaffen sogar spezielle Security-Champion-Programme.

Den Erfolg in einem gemeinsamen Erfolgsplan dokumentieren

Sobald SieIhre Erfolgskriterien definiert haben, besteht der nächste Schritt darin, diese in einem gemeinsamen Erfolgsplan zu dokumentieren. Dieser Plan ist ein interdisziplinär geteiltes Modell, an dem alle wichtigen Interessengruppen Ihres Programms beteiligt sind, einschließlich externer Unterstützung wie Ihrer CSM-Schulungsplattform.

Der Erfolgsplan enthält:

1. Wertsteigernde Faktoren: Dazu gehören hochrangige Unternehmensziele im Zusammenhang mit der Verbesserung der Codesicherheit und der Beantwortung der Frage „Warum?“ Ihres Programms.
2. Aktueller Stand: Hier wird festgelegt, „wo wir derzeit stehen“ (z. B. aktuelle Fähigkeiten im Bereich sicheres Codieren oder bestehende Schulungsprogramme).
3. Zukünftiger Zustand (gewünscht): Dokumentieren Sie anschließend „Wo wollen wir hin?“ und legen Sie fest, wie die Lücke bei den sicheren Programmierkenntnissen geschlossen werden soll.
4. KPIs/Kennzahlen: Dies sind die Kennzahlen, die den Erfolg zeigen und belegen, dass sich die Lücke zwischen dem aktuellen und dem zukünftigen Zustand mit der Umsetzung des Programms schließt.

Wir empfehlen, mit 1 oder 2 spezifischen Kennzahlen zu beginnen und diese später bei Bedarf zu erweitern. Diese KPIs/Kennzahlen müssen dem S.M.A.R.T.-Prinzip entsprechen (spezifisch, messbar, erreichbar, relevant und zeitgebunden). Sie müssen leicht nachverfolgbar sein und dürfen keinen Raum für vage Interpretationen lassen. Alle Beteiligten müssen zur Umsetzung des Plans Rechenschaft ablegen, wobei in regelmäßigen, vereinbarten Abständen der Wert und die Kapitalrendite mit der Geschäftsleitung überprüft werden müssen.

Durch die explizite Definition und Messung dieser Kriterien wird Ihr Programm für sicheres Codieren von einer reinen Kostenstelle zu einem nachweisbaren Treiber für wichtige Geschäftsergebnisse – ein erster notwendiger Schritt, um die Reife des Programms zu erreichen.

Als Nächstes befassen wir uns mit Enabler 2: Unterstützung durch Führungskräfte, um die Schlüsselrolle der Führung bei der erfolgreichen Umsetzung eines sicheren Programmierprogramms zu analysieren.

Haben Sie weitere Fragen? Kunden können sich an das Account-Team oder an support@securecodewarrior.com wenden. Potenzielle Kunden können mit einem Mitglied unseres Vertriebsteams sprechen, indem sie uns hier kontaktieren.

Eine Person, die sich entscheidet, sich voll und ganz in ein Start-up-Unternehmen zu stürzen, erhält viele Bezeichnungen, vom ambitionierten Spitznamen „Unternehmer” bis hin zum deutlich weniger glamourösen „verdammt verrückt”. Nach elf Jahren an der Spitze von Secure Code Warrior befinde ich mich glücklicherweise irgendwo dazwischen.

Die letzten fünf Jahre waren für viele eine Lektion in Resilienz, da es wirtschaftliche und andere Wendungen gab, die selbst einige der klügsten Köpfe der Welt nicht vorhersagen konnten. Mir fällt dazu vielleicht „das Überleben des Stärkeren” ein, aber ich bevorzuge dieses Zitat:

„Es ist nicht die stärkste Art, die überlebt, und auch nicht die intelligenteste. Es ist diejenige, die sich am besten an Veränderungen anpasst.“

(Dies wird häufig fälschlicherweise Charles Darwin zugeschrieben, aber tatsächlich stammt es von Professor Leon C. Megginson, der Darwins Werk „Die Entstehung der Arten“ zusammenfasste. Mit etwas Glück können Sie damit in Zukunft in einer Kneipe einen großen Preis gewinnen.)

Gibt es in unserer Welt ein besseres Beispiel für Wandel und Anpassungsfähigkeit als künstliche Intelligenz? Seit der Einführung der LLM-Bombe sind mehr als drei Jahre vergangen, und wir bemühen uns immer noch zu verstehen, was diese Iteration ist, was sie leisten kann und wie sie uns in praktisch allen derzeit existierenden Funktionen am besten dienen kann. Auf jeden Fall ist sie gekommen, um zu bleiben, und insbesondere als Cybersicherheitsexperten müssen wir einen Schritt voraus sein, um sie zu schützen, auch wenn es keine offiziellen Barrieren und Vorschriften gibt.

2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.

Wir haben einige wichtige Meilensteine erreicht, darunter unseren Einstieg in den Schutz der durch künstliche Intelligenz vorangetriebenen Softwareentwicklung. Wir:

• Lanzado Vertrauenswürdiger Agent: KI zu den Beta-Tests: Eine neue Studie der CCIA bestätigt Da generative KI die am schnellsten verbreitete Technologie aller Zeiten ist, überrascht es nicht, dass KI-Agenten und KI-Assistenten bei Entwicklern auf große Akzeptanz stoßen, einschließlich eiliger Bereitstellungen auf Unternehmensebene, die schneller voranschreiten als ihre Sicherheitsprogramme.
  
  Unsere neueste Technologie, Trust Agent: AI, liefert die fehlende Komponente der Transparenz und Kontrolle über den von KI generierten Code. Sie bietet Sicherheitsverantwortlichen in Unternehmen die umfassende Beobachtungs- und Kontrollmöglichkeit, die sie benötigen, um die Einführung von KI in ihrem Softwareentwicklungszyklus (SDLC) sicher zu verwalten, ohne dabei die Sicherheit zu beeinträchtigen.
• Wir haben unseren letzten wichtigen Umsatzmeilenstein überschritten: Das Übertreffen unseres Umsatzziels ist ein Beweis für die Hartnäckigkeit und Innovationskraft des gesamten Secure Code Warrior. Als wir diese Reise begannen, war es unsere Mission, über den Ansatz der Sicherheit durch Abhaken von Checkboxen hinauszugehen und Entwickler tatsächlich zu befähigen, von der ersten Zeile an sicheren Code zu schreiben.
  
  Die Tatsache, dass diese Vision bei so vielen globalen Unternehmen Anklang findet, zeigt, dass die Branche endlich ihren Fokus auf entwicklerzentrierte Sicherheit verlagert, und ich könnte nicht stolzer sein auf die Art und Weise, wie unsere Warriors sich dafür einsetzen, Software für alle sicherer zu machen.
• Integration von Experten mit strategischen Partnern: Unsere Partnerschaften mit großen Unternehmen wie Aikido, OpenText und Black Duck stellen einen wichtigen Schritt vorwärts in unserer Mission dar, ein nahtloses, entwicklerorientiertes Sicherheitsökosystem zu schaffen. Indem wir die Lücke zwischen der Identifizierung von Schwachstellen und der Bereitstellung der spezifischen Fähigkeiten zu deren Behebung schließen, durchbrechen wir effektiv den Teufelskreis der Risiken im Zusammenhang mit entwicklerorientierter Software.
  
  Ich bin sehr stolz auf diese Partnerschaft, die einen strategischen Wandel von fragmentierten Tools hin zu einer einheitlichen Erfahrung bedeutet, bei der Sicherheit eine natürliche Erweiterung des Entwicklungsworkflows ist.

Jetzt, da wir in ein weiteres großartiges Jahr starten, möchte ich mich bei unserer wachsenden Fangemeinde bedanken, insbesondere bei der Cyber-Community im Allgemeinen, die weiterhin die Initiative im Kampf gegen wiederkehrende Schwachstellen, mangelndes Sicherheitsbewusstsein und schlechte Code-Qualität ergreift. Durch die Einführung eines neuen, sichereren Standards können wir erste echte Verbesserungen bei der Sicherheit unserer Software, Dienste und Technologien feststellen.

Wir investieren weiterhin in eine Zukunft, in der KI unter der Aufsicht von erfahrenen Menschen den Großteil des Codes schreibt. Unser SCW Learning entwickelt sich rasch weiter, um den Anforderungen dieser neuen Welt gerecht zu werden, und unser SCW Trust Agent: AI wird in den nächsten drei Monaten verfügbar sein, um den sicheren Betrieb von LLM, MCP und mehr im SDLC zu unterstützen. Außerdem stehen wir kurz davor, eine neue, spannende Partnerschaft mit einem der wichtigsten Akteure auf dem Markt bekannt zu geben.

Bleiben Sie dran!

Eine Version dieses Artikels erschien in Revista SC. Er wurde geändert und hier veröffentlicht.


Wenn Sie jemals Opfer eines Einbruchs geworden sind, kennen Sie dieses erste Gefühl der Beklemmung, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass tatsächlich etwas gestohlen und Ihre Privatsphäre verletzt wurde. In der Regel führt dies zu einem anhaltenden Unbehagen, ganz zu schweigen von der Einführung von Sicherheitsmaßnahmen, die denen von Fort Knox in nichts nachstehen.

Stellen Sie sich nun vor, Ihr Haus wird ausgeraubt, weil sich die Diebe einen Schlüssel angefertigt haben. Sie schleichen hin und her, kommen und gehen, wie es ihnen gefällt, aber sie achten darauf, nicht entdeckt zu werden. Eines Tages bemerken Sie dann zu spät, dass der Schmuck, den Sie im Gefrierschrank versteckt hatten, verschwunden ist, dass Ihr Safe leer ist und dass Ihre persönlichen Gegenstände geplündert wurden. Genau dieser Situation sieht sich eine Organisation gegenüber, wenn sie Opfer eines Zero-Day-Cyberangriffs wird. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80 % der erfolgreichen Datenlecks auf Zero-Day-Exploits zurückzuführen waren. Leider sind die meisten Unternehmen nach wie vor schlecht vorbereitet, um diese Statistik deutlich zu verbessern.

Zero-Day-Angriffe lassen Entwicklern per Definition keine Zeit, bestehende Schwachstellen zu finden und zu beheben, die ausgenutzt werden könnten, da der Angreifer als Erster eingedrungen ist. Der Schaden ist bereits angerichtet, und nun muss daran gearbeitet werden, sowohl den Schaden an der Software als auch den Schaden für den Ruf des Unternehmens zu beheben. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich auszugleichen.

Das Weihnachtsgeschenk, das niemand wollte, Log4Shell, bringt derzeit das Internet zum Explodieren, und es heißt, dass mehr als eine Milliarde Geräte von dieser katastrophalen Java-Sicherheitslücke betroffen sind. Es zeichnet sich als der schlimmste Angriff ab, der jemals an einem einzigen Tag verzeichnet wurde, und wir stehen erst am Anfang. Obwohl einige Berichte behaupten, dass die Exploits bereits einige Tage vor ihrer öffentlichen Bekanntgabe begannen, deutet eine Präsentation auf der Black Hat Conference 2016 darauf hin, dass dieses Problem schon seit einiger Zeit bekannt ist. Oh je. Schlimmer noch, es ist extrem einfach auszunutzen, und alle Skriptersteller und Akteure auf der ganzen Welt versuchen, mit dieser Sicherheitslücke Geld zu verdienen.

Was ist also der beste Weg, um sich gegen eine finstere und schwer fassbare Bedrohung zu verteidigen, ganz zu schweigen von den Schwachstellen, die bei der Softwareentwicklung übersehen wurden? Schauen wir uns das einmal an.

Zero-Day-Angriffe auf wichtige Ziele sind selten (und kostspielig).

Es gibt einen riesigen Markt für Exploits im Dark Web, und Zero-Day-Exploits kosten oft ein Vermögen. In diesem Artikel beispielsweise wurden sie zum Zeitpunkt der Veröffentlichung mit 2,5 Millionen Dollar bewertet. Es handelt sich angeblich um eine Schwachstelle im iOS-System von Apple, daher ist es nicht verwunderlich, dass der Sicherheitsforscher in den Wolken schwebt; schließlich könnte dies das Tor sein, um Millionen von Geräten zu kompromittieren, Milliarden von vertraulichen Datensätzen zu sammeln und dies so lange wie möglich zu tun, bevor sie entdeckt und korrigiert werden.

Aber wer hat überhaupt so viel Geld? In der Regel nehmen organisierte Cyberkriminelle das Geld, wenn sie es für angemessen halten, insbesondere bei Ransomware-Angriffen, die immer beliebter werden. Allerdings gehören Regierungen und Verteidigungsministerien auf der ganzen Welt zu den Kunden von Exploits, die sie nutzen können, um Informationen über Bedrohungen zu erhalten, und in positiveren Szenarien können Unternehmen ihre eigenen potenziellen Zero-Day-Schwachstellen kaufen, um Katastrophen abzuwenden.

Im Jahr 2021 wurden Rekorde bei der Entdeckung von Exploits in Echtzeit von Grund auf gebrochen, und es sind große Organisationen, Regierungsbehörden und Infrastrukturen, die am stärksten gefährdet sind, auf Schwachstellen untersucht zu werden. Es gibt keine Möglichkeit, sich vollständig vor der Möglichkeit eines Zero-Day-Angriffs zu schützen, aber man kann in gewisser Weise „mitspielen“, indem man ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbietet. Anstatt darauf zu warten, dass Ihnen jemand auf einem Dark-Web-Marktplatz die Schlüssel zu Ihrem Software-Schloss gibt, suchen Sie nach legitimen Sicherheitsverbesserungen und bieten Sie ihnen angemessene Belohnungen für die ethische Offenlegung und mögliche Lösungen an.

Und wenn es sich um eine beängstigende Zero-Day-Bedrohung handelt, musst du zweifellos mehr als nur eine Amazon-Geschenkkarte ausgeben (und das wird sich auch lohnen).

Ihre Werkzeuge könnten eine Verantwortung für Ihr Sicherheitspersonal darstellen.

Umständliche Sicherheitstools sind seit langem ein Problem, und der durchschnittliche CISO verwaltet zwischen 55 und 75 Tools in seinem Sicherheitsarsenal. Abgesehen davon, dass es sich um das verwirrendste (metaphorische) Schweizer Taschenmesser der Welt handelt, sind sich laut einer Studie des Ponemon Institute 53 % der Unternehmen nicht einmal sicher, ob sie damit effektiv arbeiten. Eine andere Studie ergab, dass nur 17 % der CISOs ihr Sicherheitssystem für „vollständig effektiv” hielten.

In einem Bereich, der für seine Überlastung bekannt ist, ist der Mangel an qualifizierten Sicherheitsexperten, die die Nachfrage und den Bedarf an Flexibilität decken könnten, eine Belastung für Sicherheitsexperten, die mit einer Überflutung an Informationen in Form von Daten, Berichten und der Überwachung riesiger Tool-Sets konfrontiert sind. Genau diese Art von Szenario kann dazu führen, dass sie eine kritische Warnmeldung übersehen, was durchaus der Fall gewesen sein könnte, als es darum ging, die Schwachstellen von Log4j angemessen zu bewerten.

Präventive Sicherheit muss von Entwicklern vorangetriebene Bedrohungsmodelle umfassen.

Entwickler führen häufig Schwachstellen auf Codeebene ein und benötigen präzise Anleitungen und regelmäßige Lernmöglichkeiten, um sichere Codierungsfähigkeiten zu entwickeln. Entwickler fortschrittlicher sicherer Systeme hatten jedoch die Möglichkeit, im Rahmen ihres Softwareentwicklungsprozesses das Modellieren von Bedrohungen zu erlernen und zu üben.
‍
Es sollte uns nicht überraschen, dass diejenigen, die Ihre Software am besten kennen, die Entwickler sind, die sie erstellt haben. Sie verfügen über fundierte Kenntnisse darüber, wie Benutzer mit ihr interagieren, wo die Funktionen verwendet werden und, wenn sie sich der Sicherheit ausreichend bewusst sind, über mögliche Szenarien, in denen sie versagen oder ausgenutzt werden könnte.

Wenn wir noch einmal auf den Log4Shell-Exploit zurückkommen, sehen wir uns leider mit einer Situation konfrontiert, in der Experten und komplexe Tool-Sets eine katastrophale Schwachstelle nicht erkennen konnten; allerdings wäre es möglicherweise gar nicht dazu gekommen, wenn die Bibliothek so konfiguriert worden wäre, dass sie Benutzereingaben desinfiziert. Die Entscheidung, dies nicht zu tun, scheint eine wenig bekannte Funktion gewesen zu sein, die der Bequemlichkeit diente, aber die Exploitbarkeit enorm vereinfachte (denken Sie an das Niveau der SQL-Injektion, sicherlich keine tollen Dinge). Hätte die Bedrohungsmodellierung von einer Gruppe begeisterter Entwickler und Sicherheitsexperten durchgeführt worden, wäre dieses Szenario höchstwahrscheinlich theoretisiert und berücksichtigt worden.

Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliches Eingreifen und Nuancen entscheidend sind, um von Menschen verursachte Probleme zu lösen. Die Modellierung von Bedrohungen erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie die sichere Codierung und Konfiguration auf Architekturebene von Software und Anwendungen. Das ist nichts, was Entwickler über Nacht umsetzen sollten, aber idealerweise sollten sie einen klaren Weg finden, um ihre Fähigkeiten so weit zu verbessern, dass sie das Sicherheitsteam bei dieser wichtigen Aufgabe entlasten können (und das ist eine hervorragende Möglichkeit, eine gute Beziehung zwischen beiden Teams aufzubauen).

Die Nulltage führen zu n Tagen.

Der nächste Schritt, um einem Zero-Day-Angriff zu begegnen, besteht darin, die Patches so schnell wie möglich zu veröffentlichen, in der Hoffnung, dass alle Nutzer der anfälligen Software diese so schnell wie möglich und natürlich bevor ein Angreifer sie zuerst findet, installieren. Log4Shell könnte Heartbleed in seiner Widerstandsfähigkeit und Leistungsfähigkeit in den Schatten stellen, da es in Millionen von Geräten integriert ist und komplexe Abhängigkeiten in einer Software-Kompilierung schafft.

Realistisch betrachtet gibt es keine Möglichkeit, diese Art von heimtückischen Angriffen vollständig zu verhindern. Wenn wir uns jedoch dazu verpflichten, alle verfügbaren Mittel einzusetzen, um sichere und hochwertige Software zu entwickeln, und die Entwicklung mit derselben Mentalität anzugehen wie bei kritischen Infrastrukturen, haben wir alle eine Chance, dagegen anzukämpfen.

Eine Version dieses Artikels erschien ursprünglich in Zona Dveröffentlicht. Er wurde aktualisiert und hier veröffentlicht.

Die Version 4.0 des Datensicherheitsstandards für die Zahlungskartenindustrie (PCI DSS) wird fast alles an der Sicherheit jedes Unternehmens oder jeder Organisation ändern, die elektronische Zahlungen akzeptiert, was auf die große Mehrheit von ihnen zutrifft. Und täuschen Sie sich nicht: Diese Aktualisierung wird für die meisten Unternehmen eine Umwälzung bedeuten, da sie sie dazu zwingen wird, viele ihrer Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in Bezug auf Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche zu implementieren, deren Einführung sie bisher vielleicht hinausgezögert haben.

Aufgrund der Komplexität der neuen Anforderungen haben Unternehmen bis März 2025 Zeit, um die Anforderungen vollständig zu erfüllen. Diese Frist wird jedoch schneller verstreichen, als die meisten Menschen glauben. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits jetzt Maßnahmen, um ihren Entwicklern die Navigation durch die bevorstehende Compliance-Landschaft zu ermöglichen.

Über die Präsenzausbildung hinaus

Die Entwickler einer Organisation schreiben den Code, auf dem ein Großteil ihrer Infrastruktur basiert. Daher ist es sinnvoll, dass sie ein guter Ausgangspunkt für die Umsetzung der neuen Anforderungen von PCI DSS 4.0 sind. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre Fähigkeiten im Rahmen eines aktualisierten Programms zur Sensibilisierung für Sicherheitsfragen zu verbessern. Damit soll sichergestellt werden, dass sie über die erforderlichen Kenntnisse verfügen, um die höchsten Sicherheitsstandards des neuen Standards umzusetzen und aufrechtzuerhalten.

Tatsächlich fordert die Anforderung 12.6.2 des PCI DSS 4.0 von Organisationen, ein formelles Sicherheitsprogramm zu implementieren und es mit den neuesten Informationen zu Bedrohungen und Abwehrtechniken auf dem neuesten Stand zu halten. Mit dem älteren Standard wurde das Ziel mit grundlegenden Sicherheitsprogrammen oder sogar mit jährlichen Compliance-Schulungen erreicht, bei denen es darum ging, „alle Kästchen anzukreuzen”. Diese neue Norm stellt viel höhere Anforderungen und verlangt sogar, dass Sicherheitsschulungsprogramme auf die spezifischen Bedrohungen und Schwachstellen der Unternehmensumgebung eingehen. Wenn beispielsweise Identitätsdiebstahl ein großes Problem für eine Organisation darstellt, muss dies in der Schulung behandelt werden.

Es ist klar, dass eine minimale Schulung weder aus praktischer Sicht noch zur Einhaltung der neuen Norm mehr ausreichend ist. Stattdessen müssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und den Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen, können Unternehmen ihren Entwicklern helfen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die Anforderungen von PCI DSS 4.0 zu erfüllen.

Die gute Nachricht ist, dass viele der neuen Anforderungen von PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung und andere. Wenn Entwickler über die richtigen, relevanten und bekannten Ressourcen zur Entwicklung ihrer Fähigkeiten verfügen, können Unternehmen sie leichter auf die neuen Standards und die größeren Verantwortlichkeiten vorbereiten, die PCI DSS 4.0 mit sich bringen wird.

Verwendung von PCI DSS 4.0 als Brücke zur Verbesserung der allgemeinen Sicherheit

Auch wenn es für die erfolgreiche Einhaltung des neuen PCI DSS 4.0-Standards entscheidend ist, den Entwicklern eine gute Sicherheitsschulung zukommen zu lassen, müssen die Bemühungen einer Organisation um eine bessere Cybersicherheit damit nicht unbedingt enden. Ja, die Anforderungen sind streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um sie zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Ausgangspunkt für eine stärkere Sensibilisierung und Schulung im Bereich Sicherheit im Allgemeinen zu nutzen. Dies wird dem Unternehmen nicht nur helfen, die Compliance-Anforderungen zu erfüllen, sondern auch eine positive Sicherheitskultur fördern, die bewährte Verfahren in den Vordergrund stellt und sicherstellt, dass alle Mitglieder des Unternehmens auf dasselbe Ziel hinarbeiten: Sicherheit steht an erster Stelle.

Es gibt natürlich eine Lernkurve, aber die Entwickler werden diesen Aufwand wahrscheinlich akzeptieren. In einer Umfrage von Evans Data unter mehr als 1200 professionellen Entwicklern, die weltweit aktiv sind, sprach sich die überwiegende Mehrheit dafür aus, sichere Codes zu erstellen und eine bessere Sicherheitskultur in ihren Unternehmen zu etablieren. Es ist klar, dass die meisten Entwickler eine strategische und unterstützte Umstellung auf sicheres Codieren und eine Neudefinition der Sicherheitsprioritäten als Teil des Entwicklungsprozesses begrüßen.

Die von PCI DSS 4.0 geforderten Sicherheitsupdates bieten Unternehmen einen perfekten Anlass, in bewährte Verfahren und Schulungen zum Thema Sicherheit zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb ihrer Organisation zu etablieren.

Entwickler können leichter ein höheres Sicherheitsniveau erreichen, wenn ihre Unternehmen in ein Programm investieren, das es ihnen ermöglicht, ihre Fähigkeiten im Bereich der sicheren Codierung mit den entsprechenden Tools und Schulungen zu integrieren. Dies kann wiederum dazu beitragen, eine Sicherheitskultur zu schaffen, in der Entwickler mehr Befugnisse haben, um bessere Entscheidungen zu treffen, die die allgemeine Sicherheitslage ihres Unternehmens verbessern, sogar über die neuen strengen PCI DSS 4.0-Standards hinaus.
‍

Vor kurzem waren wir sehr begeistert, als wir den ersten Beitrag unseres Präsidenten und CEO Pieter Danhieux im Forbes Technology Council live mitverfolgen konnten. Der Beitrag beschrieb, wie die Verbesserung der Fähigkeiten von Entwicklern zur Erstellung sicherer Codes entscheidend zur Verhinderung von Cyberangriffen und Datenlecks beiträgt. Darüber hinaus wurde aufgezeigt, wie genau diese sicherheitsbewussten Entwickler dazu beitragen können, einen besseren und sichereren Code zu liefern, und zwar schneller, als viele IT-Abteilungen glauben. Die Notwendigkeit dieses Ansatzes ist zweifellos dringend. Eine aktuelle Studie hat ergeben, dass mittlerweile alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Unterbrechung miterlebt, die durch einen einzigen erfolgreichen Ransomware-Angriff auf Colonial Pipeline verursacht wurde, der im Großen und Ganzen nicht so zerstörerisch war wie der Hackerangriff auf SolarWinds.

‍

Es gibt nach wie vor viele gängige Schwachstellen, weil sich niemand die Mühe gemacht hat, den Entwicklern zu zeigen, wie sie mangelhafte Codierungsmuster durch eine bessere Methode ersetzen können, um dieselben Funktionen auf sicherere und geschütztere Weise auszuführen. Darüber hinaus ist die Korrektur von Software in einer fortgeschrittenen Entwicklungsphase extrem kostspielig, sowohl in Bezug auf den Zeitaufwand als auch auf Verzögerungen bei der Implementierung. Die Reparatur des Codes nach der Implementierung, insbesondere nachdem ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Und dabei sind die Schäden für den Ruf eines Unternehmens nach einer schwerwiegenden Sicherheitsverletzung noch nicht einmal berücksichtigt.

Entwickler mit einer Ausbildung im Bereich Sicherheit werden ganz natürlich zu besseren Programmierern. Es steht außer Frage, dass CISOs ihre Sicherheitswerkzeuge nicht kurzfristig aufgeben sollten, aber wenn sie einen integrativen und präventiven Sicherheitsansatz von oben verfolgen, können sie die größte Ressource ihres Unternehmens, den Faktor Mensch, nutzen, insbesondere wenn es darum geht, die Codierung von Beginn des Softwareentwicklungszyklus an zu schützen.

Dazu sind die folgenden drei übergeordneten Strategien zu berücksichtigen.

1. Seien Sie proaktiv, nicht reaktiv.

Unternehmen geraten oft in die Falle, reaktiv zu handeln, indem sie beispielsweise auf die Maßnahmen der Konkurrenz reagieren, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele Unternehmen verfolgen diesen Ansatz auch standardmäßig, wenn es um Sicherheitslücken im Code geht, und nehmen Cybersicherheit nur dann ernst, wenn sie aufgrund einer erfolgreichen Sicherheitsverletzung dazu gezwungen sind. Leider ist der Schaden dann bereits angerichtet, und Strafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke wirken sich auf die Bilanz aus. Eine weitere Möglichkeit, zu reagieren statt zu handeln, besteht darin, automatische oder manuelle Code-Scans durchzuführen, um Schwachstellen im bestehenden Code zu finden, anstatt sich darauf zu konzentrieren, von Anfang an sicheren Code zu erstellen. Leider ist das Scannen von Code keine perfekte Lösung, was bedeutet, dass je mehr Schwachstellen im Code vorhanden sind, desto größer die Wahrscheinlichkeit ist, dass einige davon übersehen werden.

Nur wenn ein proaktiver Ansatz verfolgt wird und mit den Entwicklern zusammengearbeitet wird, um ihnen zu helfen, von Anfang an sicheren Code zu erstellen, kann ein Softwareentwicklungszyklus etabliert werden, der die Wahrscheinlichkeit, dass Benutzer Schwachstellen im Code entdecken, erheblich verringert.

2. Verbessere deine Fähigkeiten, übertreibe es nicht.

Wenn Sie sich entschließen, Entwicklern das nötige Wissen für die Erstellung sicherer Codes zu vermitteln, wählen Sie Ihren Ansatz mit Bedacht. Interne Schulungsworkshops, die das Programmieren unterbrechen, frustrieren sowohl Entwickler als auch Administratoren. Präsenzkurse, die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch unbeliebter. Der beste Ansatz besteht darin, die Programmierkenntnisse schrittweise zu entwickeln und während des Programmierprozesses Schritt für Schritt relevante Informationen bereitzustellen – im Grunde genommen geht es darum, die Fähigkeiten zu verbessern, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.

3. Anreize, nicht übernehmen

Entwickler sollten die Verbesserung ihrer Sicherheitsfähigkeiten nicht als Strafe oder Belastung betrachten. Manager sollten Entwickler motivieren, indem sie ihnen vermitteln, wie wichtig sicherer Code für den Erfolg des Unternehmens ist. Es ist auch wichtig zu vermitteln, dass sichere Programmierer für das Unternehmen wertvoller sind und in Zukunft bessere Karrierechancen haben werden.

Die Biden-Regierung ist willkommen Die Exekutivverordnung hat den Fokus auf Cybersicherheit und die Notwendigkeit verstärkt, „Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst einzubeziehen und innovative Tools oder Methoden zu identifizieren, um die Einhaltung sicherer Praktiken nachzuweisen”. Tools sind zwar unerlässlich, reichen aber nicht aus. Kein Tool kann vollständig verhindern, dass eine Person die eingerichteten Systeme und Tools ignoriert, falsch interpretiert, missbraucht oder auf andere Weise umgeht. Um die Sicherheit ihrer Unternehmen zu maximieren, müssen CISOs den Faktor Mensch nutzen und Entwickler dazu ermutigen, sich zu Verteidigern und Sicherheitsfachleuten zu entwickeln, die bereit sind, dies zu tun.

Am 3. September nahmen einige Mitglieder des Teams und ich an einer beeindruckenden Preisverleihung zum Thema Sicherheit teil, die von CSO Australia organisiert wurde. Als eine der ersten ihrer Art in Australien war die Preisverleihung „Women in Security Awards 2019“ ein großartiger Höhepunkt für einige der angesehensten Sicherheitsexpertinnen der Branche. Es war eine Würdigung der Beiträge von Frauen im Bereich der Cybersicherheit und eine dringend benötigte Plattform, um das unglaubliche Talent und die Innovationskraft von Frauen zu zeigen, die oft unbemerkt bleiben und dennoch hervorragende Arbeit leisten.

Ich bin stolz darauf, sagen zu können, dass die Vizepräsidentin für Kundenerfolg bei Secure Code Warrior auch bekannt als Chief Awesome), Fatemah Beydoun, ein wesentlicher Teil dieses Tages war. Sie hielt ihren Vortrag „Mentoring für die Zukunft: Wie wir alle die Förderung weiblicher Talente in der Cybersicherheit verbessern können” vor einem sehr aufgeschlossenen Publikum. Zwar reichen zwölf Minuten bei weitem nicht aus, um ihren nachhaltigen Einfluss auf uns und die Cybersicherheitsbranche insgesamt zu beschreiben, doch sie war Zeugin (um nicht zu sagen: treibende Kraft) einer entscheidenden und positiven Veränderung.

Ein integrativerer Ansatz.

«Cuando empecé mi carrera en esta industria», dijo Fatemah, «fui una de las pocas mujeres en los equipos en los que me colocaron. Muchas de las oportunidades para establecer contactos también estaban centradas en los hombres, lo que me dificultaba unirme, conocer a las personas adecuadas y demostrar un valor fundamental para la empresa. Intenté cambiar esa dinámica, creando un espacio más inclusivo cuando fuera posible.

Por ejemplo, asistía con frecuencia a eventos de la industria y descubría que muchos stands de empresas utilizaban modelos promocionales para ayudar a llamar la atención sobre sus stands. En teoría, eso está bien, pero a menudo me ignoran, ya que claramente no soy el mercado objetivo. Al principio de mi carrera, me encargué de organizar eventos y prometí que podríamos encontrar formas más inclusivas y divertidas de llamar la atención sobre nuestras propias ofertas», dijo.

Fatemah und ich arbeiten schon seit langer Zeit zusammen, und sie hat sich stets für Inklusion und Vielfalt in den Unternehmen eingesetzt, in denen wir tätig waren. Dies hat immer zu mehr Chancen für die Frauen im Team, zur Anerkennung wichtiger Beiträge und zu einer Gruppe geführt, die durch unterschiedliche Ansätze, Meinungen und Lebensweisen gestärkt wird.

„Natürlich möchte niemand die symbolische Frau sein“, sagte Fatemah. „Das Problem könnte jedoch darin liegen, dass einige weniger vielfältige Führungsteams dazu neigen, die Führung anderen zu überlassen, die ihnen ähnlich sind und mit denen sie sich auf persönlicher Ebene identifizieren können. Diese Führungskräfte könnten davon profitieren, wenn eine Frau aufgrund ihrer Verdienste und Fähigkeiten einen Beitrag leisten würde, aber oft fällt es ihnen schwer, Unterstützung zu bekommen. Wenn Führungsteams sich der Stärke bewusst sind, die Vielfalt mit sich bringen kann (und das geht über das Geschlecht hinaus), sind sie in der Regel bereit, diese Wege zu schaffen und damit zu beginnen, Frauen zu fördern, die bereit und in der Lage sind, hervorragende Arbeit für ihr Unternehmen zu leisten», erklärte sie.

Flexibilität am Arbeitsplatz: Schlüsselkomponenten für den Erfolg.

Als ich mein eigenes Unternehmen gründete, habe ich sehr schnell gelernt, dass die beste Arbeit geleistet wird, wenn die Teammitglieder Freiraum haben. Flexibilität ist für alle wichtig, aber Maßnahmen, die berufstätigen Familien helfen, können entscheidend sein, um wichtige Talente zu halten.

Eine der ersten Maßnahmen, die hier eingeführt wurden, war die Politik der Babys am Arbeitsplatz, die es jungen Müttern ermöglichte, früher an ihren Arbeitsplatz zurückzukehren, mit der notwendigen Flexibilität für Arzttermine und der Möglichkeit, ihre Babys mit zur Arbeit zu bringen, ohne Angst davor haben zu müssen, dafür verurteilt zu werden.

„Ich wollte mich nicht zwischen meiner Rolle als Mutter und meinem Beruf entscheiden müssen, und die Möglichkeit, meinen kleinen Sohn mit zur Arbeit zu nehmen, war ein sehr positiver Schritt, damit ich mich unterstützt und geschätzt fühlte“, sagte Fatemah. „Meine Fähigkeiten verschwinden nach der Geburt nicht, und als Gründungsmitglied eines Start-ups möchte man einfach nur wieder loslegen!“

Ella hat sogar mit ABC News über die Vorteile flexibler Arbeitszeiten gesprochen:

Haben Sie eine erfolgreiche Mentoren-Kultur?

Um eine großartige berufliche Laufbahn zu beginnen und den Schwung aufrechtzuerhalten, ist es eine gute Idee, einen Mentor zu haben. In vielen Bereichen der IT, Cybersicherheit und in anderen männerdominierten Bereichen besteht ein großes Ungleichgewicht zwischen Frauen in Führungspositionen und Männern, was die Situation etwas schwierig machen kann.

Es ist zwar wichtig, dass Frauen sich selbst in Führungspositionen wiedererkennen, aber auch Männer können helfen, indem sie die intelligenten Frauen in ihren Teams unterstützen und, wann immer möglich, als Mentoren fungieren.

„Führungsteams können einen enormen Einfluss auf die Diversifizierung einer Organisation haben und darüber hinaus sicherstellen, dass außergewöhnliche Frauen die Anerkennung und Karrierechancen erhalten, die sie genauso verdienen wie alle anderen auch. Ich habe dies bei Yvette Lejins, der Direktorin für Cybersicherheit bei Jetstar, in der Praxis gesehen. Sie ist eine Verfechterin von Frauen und hat dank ihres eigenen Erfolgs und ihrer harten Arbeit dies erreicht und anderen Frauen geholfen, das nötige Selbstvertrauen zurückzugewinnen, um nach den höchsten Positionen zu streben”, sagte Fatemah.

So wie die Dinge stehen, Secure Code Warrior sein 100-mitarbeiter-Jubiläum gefeiert. Ich bin stolz darauf, sagen zu können, dass wir einen Frauenanteil von über 50 % im gesamten Unternehmen haben, und Fatemah ist ein außergewöhnliches Vorbild und eine Mentorin für uns alle.

Alle Unternehmen können in der Diversifizierung ihrer Teams eine immense Stärke finden. Eine Vielfalt an Meinungen aus unterschiedlichen Lebensbereichen kann das geheime Zutat sein, das nötig ist, um gute Ideen in großartige Ideen zu verwandeln. Wie immer sind wir gemeinsam stärker.

Die KI-gestützte Entwicklung (oder, in ihrer modernsten Form, die „Vibrationscodierung“) hat enorme und transformative Auswirkungen auf die Erstellung von Code. Etablierte Entwickler setzen diese Tools massenhaft ein, und diejenigen von uns, die schon immer ihre eigene Software entwickeln wollten, aber nicht über die erforderliche Erfahrung verfügten, nutzen sie ebenfalls, um Assets zu erstellen, die zuvor in Bezug auf Kosten und Zeitaufwand unerschwinglich gewesen wären. Diese Technologie verspricht zwar den Beginn einer neuen Ära der Innovation, bringt jedoch eine Reihe neuer Schwachstellen und Risikoprofile mit sich, die Sicherheitsverantwortliche zu mindern versuchen.

Eine kürzlich von InvariantLabs entdeckte Schwachstelle im Model Context Protocol (MCP), einem API-ähnlichen Framework, das leistungsstarken KI-Tools die autonome Interaktion mit anderer Software und Datenbanken ermöglicht, ermöglicht sogenannte „Tool-Poisoning-Angriffe“ – eine neue Kategorie von Schwachstellen, die für Unternehmen besonders schädlich sein könnten. Führende KI-Tools wie Windsurf und Cursor sind nicht immun, und angesichts von vielen Millionen Nutzern sind das Bewusstsein und die Fähigkeiten zum Umgang mit diesem aufkommenden Sicherheitsproblem von größter Bedeutung.

So wie die Dinge stehen, sind die Ergebnisse dieser Tools nicht sicher genug, um sie als unternehmensfähig zu bezeichnen, wie aus einer aktuellen Forschungsarbeit der Sicherheitsforscher Vineeth Sai Narajala und Idan Habler von AWS und Intuit hervorgeht:Da KI-Systeme immer autonomer werden und über Dinge wie MCP direkt mit externen Tools und Daten in Echtzeit interagieren, wird es absolut unerlässlich, die Sicherheit dieser Interaktionen zu gewährleisten.

Die KI-Systeme der Agentur und das Risikoprofil des Protokolls Modellkontext

Das Model Context Protocol ist eine nützliche Software von Anthropic, die eine bessere und nahtlosere Integration zwischen den KI-Agenten des Large Language Model (LLM) und anderen Tools ermöglicht. Es handelt sich um ein leistungsstarkes Anwendungsbeispiel, das eine Vielzahl von Möglichkeiten zwischen proprietären Anwendungen und für Unternehmen unverzichtbaren SaaS-Tools wie GitHub eröffnet, die mit modernsten KI-Lösungen interagieren. Schreiben Sie einfach einen MCP-Server und legen Sie fest, wie er funktionieren soll und zu welchem Zweck.

Tatsächlich sind die Auswirkungen der MCP-Technologie auf die Sicherheit überwiegend positiv. Das Versprechen einer direkteren Integration zwischen LLMs und der von Sicherheitsexperten verwendeten Technologie ist zu verlockend, um es zu ignorieren, und bietet die Möglichkeit, Sicherheitsaufgaben auf einem Niveau zu automatisieren, das zuvor nicht möglich war, zumindest ohne benutzerdefinierten Code zu schreiben und zu implementieren, normalerweise für jede Aufgabe. Die verbesserte Interoperabilität von LLM, die MCP bietet, ist eine interessante Perspektive für die Unternehmenssicherheit, da umfassende Transparenz und Konnektivität zwischen Daten, Tools und Mitarbeitern für eine effektive Verteidigung und Sicherheitsplanung von entscheidender Bedeutung sind.

Die Verwendung von MCP kann jedoch andere potenzielle Bedrohungsvektoren mit sich bringen und die Angriffsfläche eines Unternehmens erheblich vergrößern, wenn sie nicht sorgfältig verwaltet wird. Wie Invariant Labs feststellt, stellen Tool-Poisoning-Angriffe eine neue Kategorie von Schwachstellen dar, die zur Exfiltration vertraulicher Daten und zur Durchführung nicht autorisierter Maßnahmen durch KI-Modelle führen können. Von da an werden die Auswirkungen auf die Sicherheit sehr schnell sehr unklar.

InvariantLabs weist darauf hin, dass ein Tool-Poisoning-Angriff möglich ist, wenn böswillige Anweisungen in die Beschreibungen der MCP-Tools eingefügt werden, die für Benutzer nicht sichtbar sind, aber von KI-Modellen vollständig gelesen (und ausgeführt) werden können. Dadurch wird das Tool dazu verleitet, ohne Wissen des Benutzers unbefugte böswillige Aktionen auszuführen. Das Problem liegt in der Annahme des MCP, dass alle Tool-Beschreibungen vertrauenswürdig sind, was für Angreifer natürlich Musik in den Ohren ist.

Sie weisen auf die folgenden möglichen Folgen eines kompromittierten Tools hin:

• KI-Modelle so steuern, dass sie auf vertrauliche Dateien zugreifen können (wie SSH-Schlüssel, Konfigurationsdateien, Datenbanken usw.);
• Die KI so trainieren, dass sie diese Daten extrahiert und übermittelt, und zwar in einer Umgebung, in der diese böswilligen Aktionen für den ahnungslosen Nutzer von Natur aus verborgen bleiben.
• Es entsteht eine Diskrepanz zwischen dem, was der Benutzer sieht, und dem, was das KI-Modell tut, indem es sich hinter irreführend einfachen Darstellungen der Argumente und Ergebnisse der Tools in der Benutzeroberfläche versteckt.

Dies ist eine neue und besorgniserregende Kategorie von Schwachstellen, die mit der unvermeidlichen Zunahme der Verwendung von MCPs mit ziemlicher Sicherheit häufiger auftreten wird. Es werden sorgfältige Maßnahmen erforderlich sein, um diese Bedrohung zu erkennen und zu mindern, während sich die Sicherheitsprogramme von Unternehmen weiterentwickeln. Daher ist es von entscheidender Bedeutung, Entwickler angemessen vorzubereiten, damit sie Teil der Lösung sein können.

Warum nur Entwickler mit Sicherheitsexpertise die KI-Tools der Behörden nutzen sollten

Die KI-Codierungstools von Agentic gelten als die nächste Evolutionsstufe der KI-gestützten Codierung, wodurch ihre Fähigkeit erhöht wird, mehr Effizienz, Produktivität und Flexibilität bei der Softwareentwicklung zu bieten. Ihre verbesserte Fähigkeit, den Kontext und die Absicht zu verstehen, macht sie besonders nützlich, aber sie sind nicht immun gegen Bedrohungen wie schnelle Injektionen, Halluzinationen oder Verhaltensmanipulationen durch Angreifer.

Entwickler sind die Verteidigungslinie zwischen guten und schlechten Code-Bestätigungen, und die Aufrechterhaltung von Sicherheitsfähigkeiten und kritischem Denken wird für die Zukunft der sicheren Softwareentwicklung von entscheidender Bedeutung sein.

Die Ergebnisse der KI sollten niemals blind vertraut werden, und nur erfahrene Entwickler mit Sicherheitskenntnissen, die kritisch und kontextbezogen denken, können die Produktivitätsgewinne dieser Technologie sicher nutzen. Dies sollte jedoch in einer Umgebung geschehen, die einer Paarprogrammierung entspricht, in der der menschliche Experte in der Lage ist, die Ergebnisse zu bewerten, die Bedrohungen zu modellieren und letztendlich die vom Tool geleistete Arbeit zu genehmigen.

Erfahren Sie hier mehr darüber, wie Entwickler ihre Fähigkeiten verbessern und ihre Produktivität mit KI steigern können.

Praktische Techniken zur Risikominderung und weiterführende Literatur in unserem neuesten Forschungsartikel

KI-Codierungstools und MCP-Technologie werden in Zukunft eine wichtige Rolle für die Cybersicherheit spielen, aber es ist wichtig, dass wir nicht ins kalte Wasser springen, bevor wir die Lage genau geprüft haben.

Der Artikel von Narajala y Habler beschreibt umfassende Strategien zur Umsetzung von MCP auf Unternehmensebene und zum kontinuierlichen Management der damit verbundenen Risiken. Letztendlich konzentriert er sich auf die Prinzipien der tiefgreifenden Verteidigung und des Nullvertrauens und befasst sich ausdrücklich mit dem einzigartigen Risikoprofil, das dieses neue Ökosystem für das Unternehmensumfeld mit sich bringt. Im konkreten Fall der Entwickler ist es von grundlegender Bedeutung, Wissenslücken in den folgenden Bereichen zu schließen:

• Authentifizierung und Zugriffskontrolle: KI-Tools von Agenturen dienen dazu, Probleme zu lösen und autonome Entscheidungen zu treffen, um die für sie festgelegten Ziele zu erreichen, genauso wie ein Mensch technische Aufgaben angehen würde. Wie bereits erwähnt, darf jedoch die qualifizierte menschliche Überwachung dieser Prozesse nicht außer Acht gelassen werden. Entwickler, die diese Tools in ihren Arbeitsabläufen einsetzen, müssen genau wissen, über welchen Zugriff sie verfügen, welche Daten sie abrufen oder potenziell offenlegen und wo diese weitergegeben werden könnten.
• Erkennung und Abwehr allgemeiner Bedrohungen: Wie bei den meisten KI-Prozessen muss der Benutzer die Aufgabe selbst beherrschen, um mögliche Fehler und Ungenauigkeiten im Ergebnis des Tools zu erkennen. Entwickler müssen ihre Fähigkeiten kontinuierlich verbessern und überprüfen lassen, um die Sicherheitsprozesse effektiv zu überprüfen und den von der KI generierten Code mit Präzision und Autorität in Sicherheitsfragen zu überprüfen.
• Ausrichtung an der Sicherheitspolitik und der Governance der KI: Entwickler müssen die zugelassenen Tools kennen und die Möglichkeit haben, ihre Fähigkeiten zu verbessern und auf diese Tools zuzugreifen. Sowohl der Entwickler als auch das Tool müssen einer vergleichenden Sicherheitsbewertung unterzogen werden, bevor die Bestätigungen als zuverlässig angesehen werden können.

Wir haben kürzlich eine Forschungsarbeit über die Entstehung der Schwingungscodierung und der KI-gestützten Codierung sowie über die Maßnahmen veröffentlicht, die Unternehmen ergreifen sollten, um die nächste Generation von KI-gestützten Softwareingenieuren zu fördern. Schauen Sie sich diese an und kontaktieren Sie uns, um Ihr Entwicklungsteam noch heute zu stärken.