Informationen zum Sicherheitscode

Die KI-gesteuerte Entwicklung hat völlig neue Kategorien von Software-Risiken mit sich gebracht. Schnelle Injektion, Manipulation des RAG und übermäßige Berechtigungen von Agenten sind nicht mehr nur theoretische Probleme, sondern aktive Realitäten in modernen Anwendungen.

Entwickler benötigen praktische Erfahrungen mit diesen neuen Bedrohungsmodellen in Umgebungen, die die Komplexität der realen Welt widerspiegeln. Aus diesem Grund haben wir die Cybermon 2025 missions , die bisher nur eine Erfahrung mit begrenzten Ereignissen waren, in eine Sammlung von Quest-Themen umgewandelt, die in Secure Code Warrior eingesetzt werden können. Sie finden die Sammlung „Cybermon 2025: Beat the Boss” im Abschnitt „Spezifische Konzepte” unter „Sicherheitskonzepte”, wenn Sie eine neue Quest erstellen.

Cybermon 2025: Battez le boss ermöglicht es Unternehmen, diese hochkomplexen Sicherheitsherausforderungen im Zusammenhang mit KI jederzeit in ihre sicheren Codierungsprogramme zu integrieren.

Was ist Beat the Boss?

Beat the Boss vereint vier anspruchsvolle Herausforderungen im Bereich KI und LLM, die entwickelt wurden, um die Fähigkeiten zur Entwicklung sicherer KI in der realen Welt zu testen.

Jedes Thema umfasst ein kurzes Einführungsvideo und Anweisungen, ein schrittweises Aufwärmtraining und die originelle Boss-Mission mit hohem Schwierigkeitsgrad von Cybermon 2025. Diese immersiven Szenarien konzentrieren sich auf praktische KI-Schwachstellen, die Entwickler im Zuge der Weiterentwicklung KI-basierter Anwendungen verstehen müssen.

Die vier missions zielen jeweils auf einen bestimmten Risikobereich im Zusammenhang mit KI ab und simulieren reale Bedrohungsmodelle in KI-gestützten Systemen:

• Bypassaur – Direkte und schnelle Injektion
• Keykraken — Indirekte Schnellinjektion
• Promptgeist — Schwächen im Zusammenhang mit Vektoren und Integration
• Proxysurfa – Übermäßige Handlungsfähigkeit

Führen Sie es auf Ihre Weise aus.

Wir empfehlen Ihnen, jeweils nur einen Boss hervorzuheben, damit jede Schwachstelle die Aufmerksamkeit erhält, die sie verdient. Viele Unternehmen entscheiden sich für folgende Vorgehensweise:

• Ein Chef pro Woche im Rahmen eines Sprints mit Schwerpunkt auf KI-Sicherheit
• Oder einmal im Monat im Rahmen der Initiative „Vulnerabilität des Monats“

Strukturierte Bereitstellungsanweisungen und herunterladbare Markenressourcen sind in der Wissensdatenbank für Administratoren verfügbar, die interne Veranstaltungen konfigurieren:
Cybermon 2025: Organisieren Sie Ihre eigene „Beat the Boss”-Veranstaltung

Sicherheitsvorbereitungen für KI umsetzen

Die durch KI beschleunigte Entwicklung definiert die Landschaft der Software-Risiken neu. Die neu entstehenden Schwachstellen erfordern mehr als nur Bewusstsein: Sie erfordern angewandte Erfahrung.

Beat the Boss ermöglicht es Unternehmen, die Entwicklung von KI-bezogenen Bedrohungsmodellen in praktische Funktionen für Entwickler umzusetzen.

Entwickler können jede Herausforderung unabhängig voneinander angehen und anschließend die vorgestellten Lösungen durchgehen, um ihre Denkweise als Angreifer und ihre Verteidigungsstrategien zu stärken. Nach der Herausforderung stehen Videos mit einer vollständigen Vorstellung der Lösung zum Lernen zur Verfügung:

Viele Teams erweitern die Erfahrung durch interne Wissensaustauschsitzungen und wandeln so das ereignisbasierte Lernen von einem wettbewerbsorientierten zu einem kollaborativen Lernen um. Sicherheit und Entwicklung sind Teamsportarten. Organisationen sind besser geschützt, wenn Entwickler, Sicherheitsbeauftragte und Ingenieurteams zusammenarbeiten, um die wachsende Angriffsfläche der KI zu verstehen und zu verringern. Durch vereinfachte Berichterstattung, gemeinsame Lösungsbewertungen und Diskussionen zwischen den Teams kann die Bewältigung individueller Herausforderungen in kollektive Fähigkeiten umgewandelt werden.

Durch die Integration von Beat the Boss in Ihre Initiativen für sicheres Programmieren stärken Sie die sichere Einführung von KI und entwickeln gleichzeitig eine messbare Reife in Bezug auf KI-Sicherheit innerhalb Ihrer Entwicklungsteams.

Beginnen Sie

Die Sammlung „Cybermon 2025: Beat the Boss” finden Sie beim Erstellen einer neuen Quest im Abschnitt „Spezifische Konzepte” unter „Sicherheitskonzepte”. Melden Sie sich bei Ihrem Secure Code Warrior-Konto an , um Ihre Bereitstellung zu konfigurieren und die sichere Entwicklung der KI in Ihren Teams zu stärken.

Der Cyber Resilience Act wird schnell zu einer strategischen Priorität, nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen. Während die Fristen für die Einhaltung der Vorschriften bis 2027 verlängert wurden, stellen sich die Ingenieur- und Sicherheitsteams bereits jetzt schwierige Fragen zu Sicherheitspraktiken bei der Konzeption, zum Umgang mit Schwachstellen und zu den Entwicklungskapazitäten.

Im Gegensatz zu vielen Vorschriften, die den Schwerpunkt auf Dokumentation und Audits legen, stellt die CRA die Konzeption und Entwicklung sicherer Software in den Mittelpunkt der Konformität. Unternehmen, die frühzeitig in Sicherheitsfunktionen investieren, werden schneller konform sein und sich auf einem Markt abheben, auf dem die Produktsicherheit zu einem Kaufkriterium wird.

Was das Gesetz über Cyberresilienz verlangt

Das Gesetz zur Cyberresilienz (Cyber Resilience Act, CRA) führt grundlegende Anforderungen an die Cybersicherheit für die meisten Produkte mit einer digitalen Komponente ein, die in der EU auf den Markt gebracht werden, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.

Noch wichtiger ist, dass sich dadurch die Frage der Verantwortung verschiebt.

Sicherheit ist nicht mehr nur eine Frage der Ausführung oder des Betriebs. Im Rahmen der CRA wird sie zu einer Verpflichtung bei der Konzeption und Entwicklung, die die Architektur, die Umsetzung, die Wartung und das Management von Schwachstellen umfasst.

Für die Verantwortlichen für Technik und Sicherheit bedeutet dies:

• Die Produkte müssen gemäß den Grundsätzen der Sicherheit bereits bei der Konzeption hergestellt werden.
• Bekannte Schwachstellen sollten nach Möglichkeit vermieden und wirksam behandelt werden.
• Unternehmen müssen nachweisen, dass sichere Entwicklungspraktiken vorhanden sind.

Zusammenfassend lässt sich sagen: Die Konformität ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und verwalten.

An wen richtet sich die CRA?

Obwohl die CRA von der EU eingeführt wurde, gilt sie für alle Organisationen weltweit, die die betreffenden digitalen Produkte auf dem EU-Markt vertreiben, insbesondere:

• Softwareanbieter und SaaS-Anbieter, deren Dienste als Komponenten zur Fernverarbeitung von Daten der abgedeckten Produkte fungieren
• Hersteller digitaler oder vernetzter Produkte
• Importeure, Händler und Einzelhändler
• Organisationen, die digitale Komponenten von Drittanbietern integrieren

Für globale Unternehmen ist die Vorbereitung auf CRA eine Voraussetzung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.

Warum starten Organisationen jetzt damit?

Wichtigste Schritte:

• September 2026 – Die Meldepflicht für Sicherheitslücken tritt in Kraft.
• Dezember 2027 – Vollständige Konformität erforderlich

Auf dem Papier mag diese Chronologie bequem erscheinen. In Wirklichkeit vollzieht sich die Transformation der Entwicklung nicht in Quartalen, sondern im Laufe von Jahren.

„Secure by Design“ ist keine Aktualisierung der Richtlinien. Es erfordert:

• Die Kompetenzen Tausender Entwickler in allen Sprachen und Teams verbessern
• Sicherheitsanforderungen bereits bei der Konzeption in die täglichen Arbeitsabläufe integrieren
• Von der reaktiven Behebung von Schwachstellen zur Prävention
• Schaffung messbarer Nachweise dafür, dass sichere Entwicklungspraktiken konsequent angewendet werden

Diese Veränderungen wirken sich auf die Personalbeschaffung, die Integration, architektonische Entscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die bis Ende 2026 warten, werden unter dem Druck der Regulierung versuchen, ihre Kapazitäten zu modernisieren – eine Lösung, die wesentlich kostspieliger und störender ist.

Die Anwendung des Gesetzes birgt auch erhebliche finanzielle Risiken. Gemäß Artikel 64 der CRA können die Strafen bei Verstößen gegen die grundlegenden Anforderungen an die Cybersicherheit bis zu 15 Millionen Euro betragen, was 2,5 % des weltweiten Jahresumsatzes entspricht.

Es ist einfach zu spät, bis Ende 2026 zu warten.

Das CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.

Viele Vorschriften legen den Schwerpunkt auf Richtlinien und Dokumentation. Die CRA geht noch einen Schritt weiter und stellt eine Verbindung zwischen der Einhaltung von Vorschriften und den tatsächlichen Praktiken bei der Konzeption und Erstellung von Software her. Dies weckt Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.

Für die Verantwortlichen im Bereich Engineering bedeutet dies, dass die Konformität von der konsequenten Anwendung sicherer Praktiken durch die Entwicklungsteams abhängt, darunter insbesondere:

• Die gängigen Schwachstellenklassen verstehen
• Anwendung der Grundsätze für sicheres Design und sichere Architektur
• Vermeiden Sie unsichere Implementierungsmodelle
• Verantwortungsbewusste Verwaltung von Komponenten von Drittanbietern und Open Source

Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings zeigen diese Tools ihre Schwächen erst, wenn der Code geschrieben ist. Sicherheit durch Design verpflichtet Entwickler dazu, Schwachstellen von vornherein zu vermeiden, und zwar einheitlich in allen Teams, Sprachen und Produkten.

Werkzeuge allein können dies nicht leisten. Die Ergebnisse im Bereich der Sicherheit durch Design hängen von den Fähigkeiten des Menschen ab.

Wie Secure Code Warrior zur Vorbereitung der CRA Secure Code Warrior

Secure Code Warrior auf die CRA abgestimmte Lernpfade, die Folgendes kombinieren:

• UNE Standard-CRA-Anforderung, die den technischen Sicherheitsanforderungen in Anhang I Teil I entspricht
• UNE Konzeptuelle Kollektion Secure by Design
• Praktisches Erlernen sprachspezifischer Schwachstellen

Lesen Sie unseren Leitfaden zu allen CRA-konformen Lerninhalten in SCW. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Verbesserung der Fähigkeiten gemäß den Grundsätzen der sicheren Regulierungsentwicklung.

Beginnen Sie jetzt mit den Vorbereitungen für die CRA

Das CRA spiegelt die Richtung wider, die die Branche einschlägt: Sicherheit durch Konstruktionsengineering ist die Standarderwartung. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, sind besser aufgestellt, um die Konformität sicherzustellen und langfristig widerstandsfähigere und risikoärmere Software zu entwickeln.

Weitere Informationen darüber, wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Wie Secure Code Warrior Ihnen bei der Einhaltung von Vorschriften helfen Secure Code Warrior

Wir beginnen unsere eingehende Untersuchung der 10 Erfolgsfaktoren mit dem grundlegenden Schritt des ersten Erfolgsfaktors: Definierte und messbare Erfolgskriterien. Wenn ein Programm für sicheres Codieren eine Reise ist, besteht der erste und wichtigste Schritt darin, genau zu wissen, wohin Sie gehen. Das ist der Kern des ersten Erfolgsfaktors.

Die Erfolgskriterien mit den Geschäftsergebnissen verknüpfen

Die Erstellung eines wirksamen Programms für sicheres Codieren erfordert klare Ziele, die eng mit den Geschäftsergebnissen verknüpft sind. Enabler 1 beantwortet die grundlegenden Fragen: „Was ist, in ganz konkreten und messbaren Begriffen, das Problem oder die Herausforderung, die wir mit unserem Programm für sicheres Codieren lösen wollen?“

Vielleicht möchte Ihr Unternehmen Compliance-Anforderungen erfüllen oder Sicherheitslücken und Cyberangriffe vermeiden. Oder vielleicht möchten Sie als Unternehmen einen Neuanfang machen, Kosten und Nachbearbeitungszeiten reduzieren, indem Sie Entwickler darin schulen, von Anfang an sicher zu programmieren.

Unabhängig von Ihren Beweggründen, dem aktuellen Stand Ihrer Organisation oder sogar der von Ihnen gewählten Sicherheits-Schulungsplattform hängt der langfristige Erfolg Ihres Programms weitgehend von der Festlegung klar definierter Ziele ab, die mit den Geschäftszielen verknüpft sind, um die Zustimmung der Mitarbeiter zu gewinnen und einen dauerhaften Erfolg sicherzustellen.

Berücksichtigen Sie bei der Festlegung der Erfolgskriterien die wichtigsten Stakeholder Ihres Programms. Wenn Sie Ihre Sponsoren in der Führungsetage und deren Geschäftsziele kennen, können Sie eine breitere Akzeptanz in allen Abteilungen erreichen.

Erfolg greifbar und messbar machen

Diese Ziele müssen naturgemäß spezifisch auf Ihre Organisation zugeschnitten sein. Sehen Sie sich jedoch diese typischen Geschäftsziele an und überlegen Sie, wie sie Sie zu weiteren Ideen inspirieren könnten:

Risikominderung: Mindern Sie Entwicklerrisiken und reduzieren Sie Schwachstellen, die durch Fehler im Code entstehen. Dazu gehören die Identifizierung von Risiken und die Verringerung der Angriffsfläche von Anwendungen.

Programme zielen häufig auf Kennzahlen wie die Reduzierung und Vermeidung der Schwachstellendichte oder der Schwachstellen-Injektionsrate ab.

Operative Geschwindigkeit: Maximieren Sie die Geschwindigkeit der Produktlieferung, reduzieren Sie die Frustration und Fluktuation der Entwickler und verringern Sie den Zeitaufwand für Nacharbeiten. Schulungen zum Thema sicherer Code sind ein wichtiger Anreiz für Entwickler, da sie ihnen helfen, zeitaufwändige Nacharbeiten an fehlerhaftem Code zu vermeiden, der erst später im Softwareentwicklungszyklus entdeckt wird.

Programme zielen häufig darauf ab, die durchschnittliche Zeit bis zur Behebung (MTTR) von Schwachstellen durch Entwickler zu reduzieren.

Einhaltung gesetzlicher Vorschriften: Erreichen Sie externe Compliance, beispielsweise durch die Einhaltung von Standards wie PCI-DSS (der Schulungen für alle Entwickler vorschreibt, die an Zahlungssystemen arbeiten).

Talent und Vertrauen: Steigern Sie das Engagement und das Bewusstsein für Sicherheit und Schwachstellen innerhalb der Entwicklerorganisation und stärken Sie gleichzeitig das Vertrauen Ihrer Kunden. Für einige Unternehmen tragen sicherheitsbewusste Entwickler dazu bei, sich vom Markt abzuheben.

Programme legen häufig Mindestanforderungen an die Fähigkeiten von Entwicklern fest oder schaffen sogar spezielle Security-Champion-Programme.

Den Erfolg in einem gemeinsamen Erfolgsplan dokumentieren

SobaldSie Ihre Erfolgskriterien definiert haben, besteht der nächste Schritt darin, diese in einem gemeinsamen Erfolgsplan zu dokumentieren. Dieser Plan ist ein gemeinsamer, funktionsübergreifender Plan, an dem alle wichtigen Stakeholder Ihres Programms beteiligt sind, einschließlich externer Unterstützung wie Ihrer CSM-Schulungsplattform.

Der Erfolgsplan enthält:

1. Wertfaktoren: Dazu gehören insbesondere hochrangige Geschäftsziele im Zusammenhang mit der Verbesserung der Codesicherheit und der Beantwortung der Frage „Warum?“ Ihres Programms.
2. Aktueller Stand: Damit wird die Frage „Wo stehen wir derzeit?“ gestellt (z. B. aktuelle Kompetenzen im Bereich sicheres Codieren oder bestehende Schulungsprogramme).
3. Zukünftiger Zustand (gewünscht): Anschließend dokumentieren Sie „Wo wollen wir hin?“ und legen fest, wie die Qualifikationslücke im Bereich sicheres Codieren geschlossen werden soll.
4. KPI/Messgrößen: Dies sind Indikatoren, die den Erfolg anzeigen und zeigen, dass sich die Kluft zwischen dem aktuellen und dem zukünftigen Zustand im Laufe der Programmdurchführung verringert.

Wir empfehlen Ihnen, mit 1 oder 2 spezifischen Indikatoren zu beginnen und diese später bei Bedarf zu erweitern. Diese KPIs/Maßnahmen müssen dem S.M.A.R.T.-Prinzip entsprechen (spezifisch, messbar, erreichbar, relevant, zeitlich begrenzt). Sie sollten leicht zu verfolgen sein und keinen Raum für unklare Interpretationen lassen. Alle Beteiligten sind für die Umsetzung des Plans verantwortlich, wobei in regelmäßigen, vereinbarten Abständen gemeinsam mit der Geschäftsleitung der Wert und die Kapitalrendite überprüft werden sollten.

Durch die explizite Definition und Messung dieser Kriterien wird Ihr Programm für sicheres Codieren von einer reinen Kostenstelle zu einem überprüfbaren Motor für wichtige Geschäftsergebnisse – ein erster notwendiger Schritt, um die Reife des Programms zu erreichen.

Anschließend werden wir uns mit Moderator 2 befassen : Unterstützung durch die Geschäftsleitung, um die Schlüsselrolle zu erörtern, die die Führung bei der erfolgreichen Umsetzung eines Programms für sicheres Codieren spielt.

Haben Sie weitere Fragen? Kunden können sich an das Account-Team oder an support@securecodewarrior.com wenden. Potenzielle Kunden können mit einem Mitglied unseres Vertriebsteams sprechen, indem sie uns hier kontaktieren.

Eine Person, die sich dazu entschließt, sich kopfüber in ein Start-up-Unternehmen zu stürzen, wird mit vielen Begriffen bezeichnet, vom ambitionierten „Unternehmer“ bis hin zum deutlich weniger glamourösen „total verrückt“. Nach elf Jahren an der Spitze von Secure Code Warrior befinde ich mich glücklich irgendwo dazwischen. 

Die letzten fünf Jahre waren für viele eine Lektion in Sachen Widerstandsfähigkeit, mit unerwarteten Herausforderungen, wirtschaftlicher und anderer Art, die selbst einige der klügsten Köpfe der Welt nicht vorhersagen konnten. Man könnte hier an das Prinzip „Survival of the Fittest“ denken, aber ich bevorzuge dieses Zitat:

„Es sind nicht die Stärksten einer Spezies, die überleben, und auch nicht die Intelligentesten. Es sind diejenigen, die sich am besten an Veränderungen anpassen können.“

(Dies wird oft fälschlicherweise Charles Darwin zugeschrieben, aber tatsächlich stammt es von Professor Leon C. Megginson, der Darwins Werk „Die Entstehung der Arten“ zusammenfasste. Hoffentlich gewinnen Sie damit irgendwann einmal einen tollen Preis bei einem Pub-Quiz.)

Gibt es in unserer Welt ein besseres Beispiel für Wandel und Anpassungsfähigkeit als künstliche Intelligenz? Mehr als drei Jahre nach der Veröffentlichung von LLM versuchen wir immer noch zu verstehen, was diese Iteration ist, was sie leisten kann und wie sie uns in praktisch jeder heute existierenden Rolle am besten dienen kann. Unabhängig davon ist sie nicht mehr wegzudenken, und insbesondere als Cybersicherheitsexperten müssen wir ihr einen Schritt voraus sein, um sie zu schützen, auch wenn es noch keine offiziellen Leitplanken und Vorschriften gibt.

2025 war ein wichtiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte Arbeit mit sich bringt, in das Jahr 2026. 

Wir haben einige wichtige Meilensteine erreicht, darunter unseren Vorstoß in den Bereich der Absicherung von KI-gestützter Softwareentwicklung. Wir haben:

• Veröffentlicht Trust Agent: KI in die Beta-Testphase: Neue Forschungsergebnisse der CCIA bestätigen, dass generative KI die am schnellsten eingeführte Technologie der Geschichte ist. Daher ist es nicht verwunderlich, dass KI-Codierungsagenten und -Assistenten bei Entwicklern großen Anklang finden, einschließlich übereilter Einführungen auf Unternehmensebene, die schneller voranschreiten als die entsprechenden Sicherheitsprogramme.
  
  Unsere neueste Technologie, Trust Agent: AI, liefert die fehlende Komponente der Transparenz und Governance für KI-generierten Code. Sie bietet Sicherheitsverantwortlichen in Unternehmen die umfassende Beobachtbarkeit und Kontrolle, die sie benötigen, um die Einführung von KI in ihrem Softwareentwicklungslebenszyklus (SDLC) sicher zu verwalten, ohne dabei die Sicherheit zu beeinträchtigen.
• Wir haben unseren letzten großen Umsatzmeilenstein übertroffen: Das Übertreffen unseres Umsatzziels ist ein Beweis für die Hartnäckigkeit und Innovationskraft des gesamten Secure Code Warrior . Als wir diese Reise begannen, war es unsere Mission, über den „Checkbox“-Ansatz in Sachen Sicherheit hinauszugehen und Entwickler tatsächlich in die Lage zu versetzen, von der ersten Zeile an sicheren Code zu schreiben.
  
  Die Tatsache, dass diese Vision bei so vielen globalen Unternehmen Anklang findet, beweist, dass die Branche ihren Fokus endlich auf entwicklerzentrierte Sicherheit verlagert, und ich könnte nicht stolzer sein darauf, wie sich unsere Warriors dafür eingesetzt haben, Software für alle sicherer zu machen.
• Expertenintegrationen mit strategischen Partnern: Unsere Partnerschaften mit großartigen Unternehmen wie Aikido, OpenText und Black Duck stellen einen bedeutenden Schritt vorwärts in unserer Mission dar, ein nahtloses, entwicklerorientiertes Sicherheitsökosystem zu schaffen. Indem wir die Lücke zwischen der Identifizierung von Schwachstellen und der Bereitstellung der spezifischen Fähigkeiten zu deren Behebung schließen, schließen wir effektiv den Kreis der entwicklerorientierten Software-Risiken.
  
  Ich bin unglaublich stolz auf diese Partnerschaft, die eine strategische Verlagerung weg von fragmentierten Tools hin zu einer einheitlichen Erfahrung bedeutet, bei der Sicherheit eine natürliche Erweiterung des Entwicklungsworkflows ist.

Zu Beginn eines weiteren wichtigen Jahres möchte ich mich bei unseren immer zahlreicher werdenden Unterstützern bedanken, insbesondere denen aus der breiteren Cyber-Community, die sich weiterhin für die Bekämpfung wiederkehrender Schwachstellen, mangelnden Sicherheitsbewusstseins und minderwertiger Code-Ausgabe einsetzen. Durch die Einführung eines neuen, sichereren Standards können wir erste echte Verbesserungen bei der Sicherheit unserer Software, Dienste und Technologien feststellen. 

Wir investieren mit voller Kraft in eine Zukunft, in der KI unter der Aufsicht qualifizierter Menschen den Großteil des Codes schreibt. Unser SCW Learning entwickelt sich schnell weiter, um den Anforderungen dieser neuen Welt gerecht zu werden, und unser SCW Trust Agent: AI wird in den nächsten drei Monaten verfügbar sein, um den sicheren Betrieb von LLMs, MCPs und mehr im SDLC zu unterstützen. Außerdem stehen wir kurz davor, eine spannende neue Partnerschaft mit einem wichtigen Marktteilnehmer bekannt zu geben.

Bleiben Sie dran!

Eine Version dieses Artikels wurde veröffentlicht in Revue SCveröffentlicht. Er wurde überarbeitet und hier veröffentlicht.


Wenn Sie schon einmal Opfer eines Einbruchs geworden sind, kennen Sie dieses Gefühl, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass Sie tatsächlich bestohlen und verletzt worden sind. Dies führt in der Regel zu einem anhaltenden Unbehagen, ganz zu schweigen von der Notwendigkeit, Sicherheitsmaßnahmen zu ergreifen, die denen von Fort Knox vergleichbar sind.

Stellen Sie sich nun vor, dass in Ihr Haus eingebrochen wird, weil sich die Diebe einen Schlüssel angefertigt haben. Sie schleichen sich herein, kommen und gehen, wie es ihnen gefällt, achten jedoch darauf, nicht entdeckt zu werden. Eines Tages stellen Sie dann zu spät fest, dass der Schmuck, den Sie im Gefrierschrank versteckt hatten, verschwunden ist, Ihr Safe ausgeräumt und Ihre persönlichen Gegenstände durchwühlt wurden. Genau damit sieht sich eine Organisation konfrontiert, wenn sie Opfer eines Cyberangriffs vom Typ „Zero Day“ wird. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80 % der erfolgreichen Datenverletzungen das Ergebnis von Zero-Day-Exploits waren, und leider sind die meisten Unternehmen immer noch nicht in der Lage, diese Statistik wesentlich zu verbessern.

Zero-Day-Angriffe lassen den Entwicklern per Definition keine Zeit, bestehende Schwachstellen, die ausgenutzt werden könnten, zu erkennen und zu beheben, da der Urheber der Bedrohung zuerst zugeschlagen hat. Der Schaden ist bereits angerichtet, und es beginnt ein Wettlauf gegen die Zeit, um sowohl die Software als auch den Ruf des Unternehmens wiederherzustellen. Die Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu verringern.

Das Weihnachtsgeschenk, das niemand wollte, Log4Shell, lässt derzeit das Internet explodieren, da mehr als eine Milliarde Geräte von dieser katastrophalen Java-Sicherheitslücke betroffen sein sollen. Es kündigt sich als der schlimmste Zero-Day-Angriff aller Zeiten an, und wir stehen erst am Anfang. Obwohl einige Berichte darauf hindeuten, dass die Exploits bereits einige Tage vor ihrer öffentlichen Bekanntgabe begonnen hatten, deut et eine Präsentation auf der Black Hat Conference 2016 darauf hin, dass dieses Problem schon seit einiger Zeit bekannt ist. Autsch. Schlimmer noch, es ist extrem einfach auszunutzen, und alle Skriptersteller und Akteure von Bedrohungen auf der ganzen Welt sind auf der Suche nach einem lukrativen Geschäft dank dieser Sicherheitslücke.

Was ist also der beste Weg, um sich gegen eine finstere und schwer fassbare Bedrohung zu verteidigen, ganz zu schweigen von den Schwachstellen, die während des Softwareentwicklungsprozesses nicht entdeckt wurden? Schauen wir uns das einmal an.

Angriffe vom Typ „Zero Day“ auf große Ziele sind selten (und kostspielig).

Es gibt einen riesigen Markt für Exploits im Dark Web, und Zero-Day-Exploits sind in der Regel sehr teuer, um nur ein Beispiel aus diesem Artikel zu nennen, das zum Zeitpunkt der Erstellung mit 2,5 Millionen Dollar bewertet wurde. Da es sich um einen Exploit für Apple iOS handelt, ist es nicht verwunderlich, dass der vom Sicherheitsforscher geforderte Preis exorbitant hoch ist. Schließlich könnte es sich um eine Schnittstelle handeln, über die Millionen von Geräten kompromittiert und Milliarden von sensiblen Daten gesammelt werden können, und zwar so lange wie möglich, bevor sie entdeckt und behoben werden.

Aber wer hat überhaupt so viel Geld? Im Allgemeinen finden organisierte Cyberkriminelle Geld, wenn sie es für sinnvoll halten, insbesondere für die immer beliebter werdenden Ransomware-Angriffe. Allerdings gehören auch Regierungen und Verteidigungsministerien weltweit zu den Kunden für Exploits, die sie für die Bedrohungsaufklärung nutzen können, und in positiveren Szenarien können Unternehmen selbst potenzielle Zero-Day-Exploits kaufen, um Katastrophen abzuwenden.

2021 wurden Rekorde bei der Entdeckung von Zero-Day-Exploits in Echtzeit gebrochen, und es sind große Organisationen, Regierungsbehörden und Infrastrukturen, die am ehesten Gefahr laufen, auf mögliche Schwachstellen untersucht zu werden. Es gibt keine Möglichkeit, sich vollständig vor einem Zero-Day-Angriff zu schützen, aber Sie können ein wenig „mitspielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. Anstatt darauf zu warten, dass Ihnen jemand auf einem Dark-Web-Marktplatz die Schlüssel zu Ihrem Software-Schloss anbietet, sollten Sie sich an seriöse Sicherheitsexperten wenden und ihnen angemessene Belohnungen für ethische Offenlegungen und potenzielle Korrekturen anbieten.

Und wenn sich herausstellt, dass es sich um eine atemberaubende Zero-Day-Bedrohung handelt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte benötigen (und das wird sich lohnen).

Ihre Ausrüstung könnte für Ihr Sicherheitspersonal ein Hindernis darstellen.

Die Schwerfälligkeit von Sicherheits-Tools ist seit langem ein Problem, da der durchschnittliche CISO zwischen 55 und 75 Tools in seinem Sicherheitsarsenal verwaltet. Abgesehen davon, dass es sich um das verwirrendste (metaphorische) Schweizer Taschenmesser der Welt handelt, sind laut einer Studie des Ponemon Institute 53 % der Unternehmen nicht einmal davon überzeugt, dass sie effizient arbeiten. Eine andere Studie ergab, dass nur 17 % der RSSI der Meinung waren, dass ihre Sicherheitslösung „vollständig effektiv” sei.

In einem Bereich, der für seine Überlastung, seinen Mangel an qualifiziertem Sicherheitspersonal zur Deckung des Bedarfs und seinen Bedarf an Flexibilität bekannt ist, erweist es sich als mühsam, Sicherheitsfachleute zu verpflichten, mit einer Überflutung an Informationen in Form von Daten, Berichten und der Überwachung riesiger Tool-Sets zu arbeiten. Genau diese Art von Szenario kann dazu führen, dass sie eine kritische Warnung übersehen, was möglicherweise der Fall war, als es darum ging, die Schwachstellen von Log4j richtig einzuschätzen.

Präventive Sicherheit muss eine von Entwicklern gesteuerte Bedrohungsmodellierung umfassen.

Les vulnérabilités au niveau du code sont souvent introduites par les développeurs, qui ont besoin de conseils précis et de parcours d'apprentissage réguliers pour développer des compétences de codage sécurisés. Cependant, les développeurs sécurisés de niveau supérieur ont eu l'opportunité d'apprendre et de pratiquer la modélisation des menaces dans le cadre de leur processus de création de logiciels.

Es überrascht nicht, dass diejenigen, die ihre Software am besten kennen, die Entwickler sind, die sie erstellt haben. Sie verfügen über fundierte Kenntnisse darüber, wie Benutzer mit ihr interagieren, wo Funktionen verwendet werden und, wenn sie sich der Sicherheit ausreichend bewusst sind, über mögliche Szenarien, in denen sie geknackt oder ausgenutzt werden könnte.

Wenn wir dies auf die Log4Shell-Sicherheitslücke zurückführen, sehen wir leider ein Szenario, in dem eine katastrophale Schwachstelle von Experten und komplexen Tool-Sets übersehen wurde, die jedoch möglicherweise gar nicht aufgetreten wäre, wenn die Bibliothek so konfiguriert worden wäre, dass sie Benutzereingaben bereinigt. Die Entscheidung, dies nicht zu tun, scheint eine obskure Funktion gewesen zu sein, die der Bequemlichkeit diente, aber die Ausnutzung extrem einfach machte (denken Sie an das Niveau der SQL-Injektion, das sicherlich nicht toll ist). Wäre die Bedrohungsmodellierung von einer Gruppe begeisterter und sicherheitsbewusster Entwickler durchgeführt worden, wäre dieses Szenario höchstwahrscheinlich theoretisiert und in Betracht gezogen worden.

Ein gutes Sicherheitsprogramm beinhaltet eine emotionale Komponente, da menschliches Eingreifen und Nuancen im Mittelpunkt der Lösung von durch Menschen verursachten Problemen stehen. Die Modellierung von Bedrohungen erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie die sichere Codierung und Konfiguration auf der Ebene der Software- und Anwendungsarchitektur. Entwickler sollten nicht von heute auf morgen mit dieser Aufgabe konfrontiert werden, aber idealerweise sollte ein klarer Weg gefunden werden, um sie so weit zu verbessern, dass sie das Sicherheitsteam bei dieser wichtigen Aufgabe entlasten können (und dies ist eine hervorragende Möglichkeit, Beziehungen zwischen den beiden Teams aufzubauen).

Ein Tag Null führt zu n Tagen

Der nächste Schritt, um einem Zero-Day-Angriff zu begegnen, besteht darin, die Patches so schnell wie möglich zu veröffentlichen, in der Hoffnung, dass jeder Nutzer der anfälligen Software diese so schnell wie möglich installiert, und zwar auf jeden Fall bevor ein Angreifer zuerst zugreift. Mit Log4Shell könnte dies Heartbleed in seiner Ausdauer und Leistungsfähigkeit in den Schatten stellen, da es in Millionen von Geräten integriert ist und komplexe Abhängigkeiten innerhalb eines Software-Designs schafft.

In Wirklichkeit gibt es keine Möglichkeit, diese Art von heimtückischen Angriffen vollständig zu verhindern. Wenn wir uns jedoch dazu verpflichten, alle Mittel einzusetzen, um sichere und hochwertige Software zu entwickeln, und die Entwicklung mit derselben Einstellung anzugehen, als handele es sich um eine kritische Infrastruktur, haben wir alle eine Chance auf Erfolg.

Die KI-gestützte Entwicklung (oder, in ihrer aktuellsten Form, das „Vibe Coding“) hat einen erheblichen transformativen Einfluss auf die Erstellung von Code. Erfahrene Entwickler setzen diese Tools massenhaft ein, und diejenigen unter uns, die schon immer ihre eigene Software entwickeln wollten, aber nicht über die erforderliche Erfahrung verfügen, nutzen sie ebenfalls, um Assets zu erstellen, die zuvor in Bezug auf Kosten und Zeitaufwand unerschwinglich gewesen wären. Obwohl diese Technologie eine neue Ära der Innovation einläuten könnte, bringt sie auch eine Reihe neuer Schwachstellen und Risikoprofile mit sich, die für Sicherheitsverantwortliche nur schwer zu mindern sind.

Eine aktuelle Entdeckung von InvariantLabs hat eine kritische Schwachstelle im Model Context Protocol (MCP) aufgedeckt, einem API-ähnlichen Framework, das leistungsstarken KI-Tools die autonome Interaktion mit anderer Software und Datenbanken ermöglicht und das sogenannte „Tool-Poisoning-Angriffe“ ” ermöglicht, eine neue Kategorie von Sicherheitslücken, die für Unternehmen besonders schädlich sein könnte. Die wichtigsten KI-Tools wie Windsurf und Cursor sind nicht immun, und angesichts von mehreren Millionen Nutzern sind das Bewusstsein und die Fähigkeiten, die zur Bewältigung dieses aufkommenden Sicherheitsproblems erforderlich sind, von größter Bedeutung.

Dans l'état actuel des choses, le résultat de ces outils est pas suffisamment sécurisés pour les étiqueter comme étant prêts à être utilisés en entreprise, comme indiqué dans un article de recherche récent de Vineeth Sai Narajala et Idan Habler, chercheurs en sécurité chez AWS et Intuit : „Da KI-Systeme immer autonomer werden und über Tools wie MCP direkt mit externen Tools und Daten in Echtzeit interagieren, ist es absolut unerlässlich, die Sicherheit dieser Interaktionen zu gewährleisten.“

Agentische KI-Systeme und das Risikoprofil des Model Context Protocol

Das Model Context Protocol ist eine praktische Software, die von Anthropic entwickelt wurde und eine bessere und reibungslosere Integration zwischen LLM-KI-Agenten (Large Language Model) und anderen Tools ermöglicht. Es handelt sich um einen leistungsstarken Anwendungsfall, der eine Vielzahl von Möglichkeiten zwischen proprietären Anwendungen und geschäftskritischen SaaS-Tools wie GitHub in Verbindung mit modernsten KI-Lösungen eröffnet. Schreiben Sie einfach einen MCP-Server und legen Sie fest, wie er funktionieren soll und zu welchem Zweck.

Die Auswirkungen der MCP-Technologie auf die Sicherheit sind im Wesentlichen positiv. Das Versprechen einer direkteren Integration zwischen LLMs und der von Sicherheitsexperten verwendeten Technologie ist zu verlockend, um ignoriert zu werden, und bietet die Möglichkeit einer präzisen Automatisierung von Sicherheitsaufgaben auf einem bisher unmöglichen Niveau, zumindest ohne das Schreiben und Bereitstellen von benutzerdefiniertem Code, in der Regel für jede Aufgabe. Die durch MCP verbesserte Interoperabilität von LLM ist eine interessante Perspektive für die Unternehmenssicherheit, da eine umfassende Transparenz und Konnektivität zwischen Daten, Tools und Mitarbeitern für eine effektive Sicherheitsplanung und -verteidigung unerlässlich ist.

Die Verwendung von MCP kann jedoch andere potenzielle Bedrohungsvektoren mit sich bringen und die Angriffsfläche von Unternehmen erheblich vergrößern, wenn sie nicht sorgfältig verwaltet wird. Wie Invariant Labs festgestellt hat, stellen Tool-Poisoning-Angriffe eine neue Kategorie von Schwachstellen dar, die zum Abfluss sensibler Daten und zu unbefugten Aktionen von KI-Modellen führen können. Von da an verschwimmen die Auswirkungen auf die Sicherheit sehr schnell.

InvariantLabs stellt fest, dass ein Tool-Poisoning-Angriff möglich ist, wenn bösartige Anweisungen in die Beschreibungen der MCP-Tools integriert werden, die für Benutzer nicht sichtbar, aber für KI-Modelle vollständig lesbar (und ausführbar) sind. Dies veranlasst das Tool, ohne Wissen des Benutzers unbefugte Aktionen auszuführen. Das Problem liegt in der Annahme des MCP, dass alle Tool-Beschreibungen vertrauenswürdig sind, was für die Akteure der Bedrohung Musik in den Ohren ist.

Sie notieren die möglichen Folgen eines kompromittierten Tools:

• KI-Modelle so steuern, dass sie auf sensible Dateien (wie SSH-Schlüssel, Konfigurationsdateien, Datenbanken usw.) zugreifen können;
• Die KI auffordern, diese Daten zu extrahieren und zu übertragen, in einer Umgebung, in der diese böswilligen Aktionen für den uninformierten Benutzer von Natur aus verborgen bleiben.
• Schaffen Sie eine Diskrepanz zwischen dem, was der Benutzer sieht, und dem, was das KI-Modell tut, indem Sie sich hinter täuschend einfachen Darstellungen der Benutzeroberfläche der Argumente und Ausgaben der Tools verstecken.

Es handelt sich um eine besorgniserregende neue Kategorie von Schwachstellen, die mit der unvermeidlichen Zunahme der Nutzung von MCPs sicherlich immer häufiger auftreten wird. Es müssen sorgfältige Maßnahmen ergriffen werden, um diese Bedrohung im Zuge der Weiterentwicklung der Sicherheitsprogramme des Unternehmens zu erkennen und zu mindern, und es ist von entscheidender Bedeutung, die Entwickler angemessen auf ihre Mitwirkung an der Lösung vorzubereiten.

Warum sollten nur Entwickler mit Sicherheitskenntnissen von agentenbasierten KI-Tools profitieren?

Die Codierungswerkzeuge von Agentic AI gelten als die nächste Evolutionsstufe der KI-gestützten Codierung, da sie die Effizienz, Produktivität und Flexibilität bei der Softwareentwicklung weiter steigern. Ihre verbesserte Fähigkeit, den Kontext und die Absichten zu verstehen, macht sie besonders nützlich, aber sie sind nicht immun gegen Bedrohungen wie schnelle Injektionen, Halluzinationen oder Verhaltensmanipulationen durch Angreifer.

Entwickler bilden die Verteidigungslinie zwischen guten und schlechten Code-Validierungen, und es wird von grundlegender Bedeutung sein, sowohl die Kompetenzen im Bereich Sicherheit als auch das kritische Denken für die Zukunft der Entwicklung sicherer Software aufrechtzuerhalten.

Die Ergebnisse der KI sollten niemals blind vertraut werden, und nur erfahrene Entwickler mit Sicherheitsbewusstsein, die kontextbezogen und kritisch denken, können die Produktivitätsvorteile dieser Technologie sicher nutzen. Dennoch muss es sich um eine Umgebung handeln, in der zu zweit programmiert wird und in der der menschliche Experte in der Lage ist, die Bedrohungen zu bewerten, zu modellieren und letztendlich die vom Tool erstellte Arbeit zu genehmigen.

Entdecken Sie hier, wie Entwickler ihre Fähigkeiten verbessern und ihre Produktivität dank KI steigern können.

Praktische Techniken zur Schadensminderung und weiterführende Literatur in unserem neuesten Forschungsartikel

KI-basierte Codierungswerkzeuge und die MCP-Technologie werden in Zukunft eine wichtige Rolle für die Cybersicherheit spielen, aber es ist wichtig, dass wir uns nicht darauf stürzen, bevor wir das Terrain überprüft haben.

Narajala und Habler beschreiben in ihrem Artikel umfassende Strategien zur Umsetzung des MCP auf Unternehmensebene und zum kontinuierlichen Management der damit verbundenen Risiken. Im Mittelpunkt stehen dabei die Prinzipien der tiefgreifenden Verteidigung und des Nullvertrauens, die explizit auf das einzigartige Risikoprofil ausgerichtet sind, das dieses neue Ökosystem für eine Unternehmensumgebung mit sich bringt. Insbesondere für Entwickler ist es unerlässlich, Wissenslücken in den folgenden Bereichen zu schließen:

• Authentifizierung und Zugriffskontrolle: Agente-basierte KI-Tools ermöglichen es, Probleme zu lösen und autonome Entscheidungen zu treffen, um die ihnen gesetzten Ziele zu erreichen, ähnlich wie ein Mensch technische Aufgaben angehen würde. Wie bereits festgestellt, darf jedoch eine qualifizierte menschliche Überwachung dieser Prozesse nicht außer Acht gelassen werden, und Entwickler, die diese Tools in ihren Arbeitsabläufen einsetzen, müssen genau verstehen, über welche Zugriffsrechte sie verfügen, welche Daten sie abrufen oder offenlegen können und wo diese Daten weitergegeben werden können.
• Allgemeine Erkennung und Minderung von Bedrohungen: Wie bei den meisten KI-Prozessen muss der Benutzer selbst die Aufgabe beherrschen, um potenzielle Schwachstellen und Ungenauigkeiten in den Ergebnissen des Tools zu erkennen. Entwickler müssen diese Fähigkeiten kontinuierlich aktualisieren und überprüfen, um Sicherheitsprozesse effektiv zu überarbeiten und den von der KI generierten Code mit Präzision und Autorität in Sicherheitsfragen zu überprüfen.
• Harmonisierung mit der Sicherheitspolitik und der KI-Governance: Entwickler müssen über zugelassene Tools informiert werden und die Möglichkeit haben, ihre Kompetenzen zu verbessern und auf diese Tools zuzugreifen. Sowohl der Entwickler als auch das Tool müssen einer vergleichenden Sicherheitsanalyse unterzogen werden, bevor Commits genehmigt werden.

Wir haben kürzlich ein Forschungsdokument über das Aufkommen der Vibrationscodierung und der KI-gestützten Codierung sowie über die Maßnahmen veröffentlicht, die Unternehmen ergreifen müssen, um die nächste Generation von KI-gestützten Software-Ingenieuren auszubilden. Lesen Sie es und kontaktieren Sie uns, um Ihr Entwicklungsteam noch heute zu verstärken.

Eine Version dieses Artikels wurde ursprünglich veröffentlicht in Zone Dveröffentlicht. Er wurde aktualisiert und hier veröffentlicht.

Die Version 4.0 des Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS) wird fast alles an der Sicherheit für jedes Unternehmen oder jede Organisation verändern, die elektronische Zahlungen akzeptiert, was die große Mehrheit von ihnen ausmacht. Und täuschen Sie sich nicht: Diese Aktualisierung wird die meisten Unternehmen verändern und sie dazu zwingen, viele ihrer Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in Bezug auf Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und andere Bereiche zu implementieren, deren Einführung sie zuvor vielleicht hinausgezögert haben.

Aufgrund der Komplexität der neuen Anforderungen haben Unternehmen bis März 2025 Zeit, um die vollständige Konformität zu erreichen. Diese Frist wird jedoch schneller verstreichen, als die meisten Menschen denken. Tatsächlich ergreifen viele zukunftsorientierte Unternehmen bereits jetzt Maßnahmen, um ihren Entwicklern die Navigation durch die anstehende Compliance-Landschaft zu erleichtern.

Über die Ausbildung hinaus

Die Entwickler eines Unternehmens schreiben den Code, auf dem ein Großteil seiner Infrastruktur basiert. Daher ist es nur logisch, dass sie ein guter Ausgangspunkt für die Umsetzung der neuen PCI DSS 4.0-Anforderungen sind. Die meisten Entwickler benötigen jedoch strategische Unterstützung, um ihre Fähigkeiten im Rahmen eines aktualisierten Sicherheitsbewusstseinsprogramms zu verbessern. Dadurch wird sichergestellt, dass sie über die erforderliche Erfahrung verfügen, um die höheren Sicherheitsstandards der neuen Norm umzusetzen und aufrechtzuerhalten.

Tatsächlich verlangt die Anforderung 12.6.2 des PCI DSS 4.0 von Unternehmen, ein formelles Sicherheitsprogramm zu implementieren und dieses mit den neuesten Informationen zu Bedrohungen und Abwehrtechniken auf dem aktuellen Stand zu halten. Mit dem alten Standard reichten grundlegende Sicherheitsprogramme oder sogar jährliche Compliance-Schulungen vom Typ „Abhaken von Checklisten” aus, um das Ziel zu erreichen. Der neue Standard geht noch viel weiter und verlangt sogar, dass Sicherheitsschulungen sich mit den spezifischen Bedrohungen und Schwachstellen innerhalb der Unternehmensumgebung befassen. Wenn beispielsweise Identitätsdiebstahl ein ernstes Problem für ein Unternehmen darstellt, muss die Schulung darauf eingehen.

Es ist klar, dass eine minimale Schulung nicht mehr ausreicht, weder aus praktischer Sicht noch um die neue Norm zu erfüllen. Unternehmen müssen Entwicklern stattdessen umfassende und agile Lernpfade anbieten, in denen sie lernen, bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anzuwenden. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und den Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen, können Unternehmen ihren Entwicklern die Möglichkeit geben, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig die PCI DSS 4.0-Norm einzuhalten.

Die gute Nachricht ist, dass viele der neuen Anforderungen der PCI DSS 4.0-Norm Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung usw. Wenn Entwickler über geeignete, relevante und vertraute Ressourcen zur Weiterentwicklung ihrer Fähigkeiten verfügen, können Unternehmen sie leichter auf die neuen Standards und die erhöhten Anforderungen vorbereiten, die PCI DSS 4.0 mit sich bringt.

Die PCI DSS 4.0-Norm als Brücke zu einer besseren Gesamtsicherheit nutzen

Obwohl es unerlässlich ist, den Anforderungen der Entwickler durch eine gute Sicherheitsschulung gerecht zu werden, um die neue Norm PCI DSS 4.0 erfolgreich zu erfüllen, dürfen die Bemühungen, eine Organisation zu einer besseren Cybersicherheit zu entwickeln, nicht dabei stehen bleiben. Ja, die Anforderungen sind streng, aber da die meisten Organisationen sich bemühen müssen, diese zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Sprungbrett zu nutzen, um das Sicherheitsbewusstsein und die Schulungen im Allgemeinen zu stärken. Dadurch kann ein Unternehmen nicht nur die Compliance-Anforderungen erfüllen, sondern auch eine positive Sicherheitskultur fördern, die bewährte Verfahren in den Vordergrund stellt und sicherstellt, dass alle Mitglieder des Unternehmens auf dasselbe sicherheitsorientierte Ziel hinarbeiten.

Natürlich gibt es eine Lernkurve, aber die Entwickler werden einer solchen Anstrengung wahrscheinlich zustimmen. In einer Umfrage von Evans unter mehr als 1.200 professionellen Entwicklern, die weltweit aktiv sind, gab die überwiegende Mehrheit an, dass sie das Konzept der Erstellung von sicherem Code und der Einführung einer besseren Sicherheitskultur in ihren Organisationen unterstützen. Es ist klar, dass die meisten Entwickler einen strategischen und nachhaltigen Übergang zu sicherer Programmierung und eine Neudefinition der Sicherheitsprioritäten im Rahmen des Entwicklungsprozesses befürworten.

Die durch den PCI DSS 4.0 vorgeschriebenen Sicherheitsupgrades sind ein idealer Anlass für Unternehmen, in die Verbesserung von Best Practices und Sicherheitsschulungen zu investieren und eine umfassendere Sicherheitskultur in ihrer Organisation zu etablieren.

Entwickler können leichter ein hohes Sicherheitsniveau erreichen, wenn ihre Unternehmen in ein Programm investieren, das es ihnen ermöglicht, ihre Kenntnisse im Bereich sicheres Programmieren mit relevanten Tools und Schulungen zu verbinden. Dies kann wiederum dazu beitragen, eine Sicherheitskultur zu schaffen, in der Entwickler besser in der Lage sind, Entscheidungen zu treffen, die die allgemeine Sicherheitslage ihres Unternehmens weit über die neuen strengen PCI DSS 4.0-Standards hinaus verbessern.
‍

Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.

Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.

Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.

Die Aktivierung der Entwickler wurde viel zu lange ignoriert.

Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.

Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.

Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.

Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.

Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.

Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.

Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.

Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.

Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.

Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.

Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.

Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:

Kurse
Missions
Schulung für Entwickler

... und vieles mehr!

Wir haben uns kürzlich sehr darüber gefreut, den ersten Beitrag unseres Vorstandsvorsitzenden Pieter Danhieux im Forbes Technology Council online zu sehen. Der Artikel erklärte, warum die Stärkung der Kompetenzen von Entwicklern zur Erstellung sicherer Codes für die Verhinderung von Cyberangriffen und Datenverstößen unerlässlich ist. Darüber hinaus zeigte er auf, wie diese sicherheitsbewussten Entwickler dazu beitragen können, qualitativ hochwertigere und sicherere Codes zu liefern, und zwar schneller, als viele IT-Abteilungen glauben. Die Notwendigkeit dieses Ansatzes ist zweifellos dringend. Eine aktuelle Studie hat ergeben, dass mittlerweile alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben die Störungen miterlebt, die durch einen einzigen erfolgreichen Ransomware-Angriff auf die Colonial Pipeline verursacht wurden, der insgesamt nicht so zerstörerisch war wie der SolarWinds-Hack.

‍

Viele gängige Schwachstellen bestehen weiterhin, weil sich niemand die Mühe gemacht hat, Entwicklern zu zeigen, wie sie schlechte Codierungsmodelle durch eine bessere Methode ersetzen können, um dieselben Funktionen sicherer und geschützter auszuführen. Und die Auswirkungen der Korrektur einer Software in einem fortgeschrittenen Stadium ihrer Entwicklung sind extrem kostspielig, sowohl in Bezug auf den Zeitaufwand als auch auf Verzögerungen bei der Bereitstellung. Die Korrektur des Codes nach seiner Bereitstellung, insbesondere wenn ein Angreifer eine zuvor unentdeckte Schwachstelle ausgenutzt hat, kann manchmal Millionen von Dollar kosten. Dabei ist der Reputationsverlust eines Unternehmens nach einer schwerwiegenden Sicherheitsverletzung noch nicht einmal berücksichtigt.

Entwickler, die in Sicherheitsfragen geschult sind, werden automatisch zu besseren Programmierern. CISOs sollten ihre Sicherheitsinstrumente sicherlich nicht so schnell aufgeben, aber durch einen integrativen und präventiven Sicherheitsansatz von oben können CISOs die größte Ressource ihres Unternehmens, den Faktor Mensch, nutzen, insbesondere wenn es darum geht, die Programmierung bereits zu Beginn des Softwareentwicklungszyklus zu sichern.

Dazu sollten Sie die folgenden drei wichtigsten Strategien im Hinterkopf behalten.

1. Seien Sie proaktiv, nicht reaktiv.

Unternehmen geraten oft in die Falle der Reaktivität, indem sie beispielsweise auf die Maßnahmen der Konkurrenz reagieren, anstatt eine eigene Vision zu entwickeln und zu verfolgen. Viele verfolgen diesen Ansatz auch, wenn es um Sicherheitslücken im Code geht, und nehmen Cybersicherheit erst dann ernst, wenn sie nach einem erfolgreichen Angriff dazu gezwungen sind. Leider ist dann der Schaden bereits angerichtet: Bußgelder, Inkassokosten, Kundenabwanderung und die Wiederherstellung der Marke wirken sich auf das Finanzergebnis aus. Eine weitere Form der Reaktion statt des Handelns besteht darin, sich auf die automatische oder manuelle Analyse des Codes zu verlassen, um Schwachstellen im bestehenden Code zu erkennen, anstatt sich in erster Linie auf die Erstellung von sicherem Code zu konzentrieren. Leider ist die Digitalisierung von Code keine perfekte Lösung, was bedeutet, dass je mehr Schwachstellen der Code enthält, desto größer die Wahrscheinlichkeit ist, dass einige davon übersehen werden.

Nur durch einen proaktiven Ansatz und die Zusammenarbeit mit Entwicklern, um ihnen dabei zu helfen, von Anfang an sicheren Code zu erstellen, können Sie einen Softwareentwicklungslebenszyklus etablieren, der die Wahrscheinlichkeit, dass Schwachstellen im Code an die Benutzer weitergegeben werden, erheblich verringert.

2. Verbessern Sie Ihre Fähigkeiten, übertreiben Sie es nicht.

Sobald Sie sich entschieden haben, den Entwicklern das nötige Wissen für die Erstellung sicherer Codes zu vermitteln, sollten Sie Ihren Ansatz sorgfältig wählen. Interne Schulungsworkshops, die die Codierung unterbrechen, frustrieren sowohl Entwickler als auch Manager. Externe Kurse, die eine Teilnahme am Abend oder am Wochenende erfordern, sind noch unbeliebter. Der beste Ansatz besteht darin, die Programmierkenntnisse schrittweise zu erweitern und relevante Informationen während des Programmierprozesses Schritt für Schritt zu vermitteln – im Wesentlichen geht es darum, die Fähigkeiten zu verbessern, ohne die Entwickler wesentlich abzulenken oder den Entwicklungsprozess zu verlangsamen.

3. Motivieren Sie, vermuten Sie nichts

Entwickler sollten die Verbesserung ihrer Sicherheitskompetenzen nicht als Strafe oder lästige Pflicht betrachten. Die Verantwortlichen müssen die Entwickler motivieren, indem sie ihnen die wichtige Rolle eines sicheren Codes für den Erfolg des Unternehmens verdeutlichen. Es ist auch wichtig zu vermitteln, dass sichere Programmierer für das Unternehmen wertvoller sind und in Zukunft von besseren Karrierechancen profitieren werden.

Die Biden-Regierung wird positiv aufgenommen Exekutivverordnung hat den Schwerpunkt verstärkt auf Cybersicherheit und die Notwendigkeit gelegt, „Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst einzubeziehen und innovative Instrumente oder Methoden zu identifizieren, um die Einhaltung sicherer Praktiken nachzuweisen”. Doch obwohl die Tools unerlässlich sind, reichen sie allein nicht aus. Kein Tool kann vollständig verhindern, dass eine Person die eingerichteten Systeme und Tools ignoriert, falsch versteht, missbraucht oder umgeht. Um die Sicherheit ihrer Unternehmen zu optimieren, müssen CSOs den Faktor Mensch nutzen und Entwickler dazu ermutigen, sich freiwillig für die Sicherheit einzusetzen und diese zu praktizieren.