Secure Code Insight

Durch die KI-gesteuerte Entwicklung wurden völlig neue Arten von Software-Risiken eingeführt. Prompt-Injektion, RAG-Manipulation und übermäßige Agentenrechte sind nicht mehr nur theoretische Probleme, sondern Realität in modernen Anwendungen.

Entwickler müssen in einer Umgebung, die die Komplexität der realen Welt widerspiegelt, tatsächlich mit diesen neuen Bedrohungsmustern in Berührung kommen . Aus diesem Grund haben wir die Cybermon 2025 AI/LLM Boss Mission von einem begrenzten Event-Erlebnis in eine Sammlung von einsetzbaren Quest-Themen innerhalb von Secure Code Warrior umgewandelt. Die Cybermon 2025: Beat the Boss-Sammlung wird beim Erstellen einer neuen Quest im Abschnitt „Spezifische Konzepte” unter „Sicherheitskonzepte” angezeigt.

Cybermon 2025: Besiege den Boss Die Organisation kann diese anspruchsvollen KI-Sicherheitsherausforderungen jederzeit in sichere Codierungsprogramme integrieren.

Was ist Beat the Boss?

Beat the Boss ist eine Sammlung von vier anspruchsvollen KI-/LLM-Herausforderungen, die entwickelt wurden, um die Fähigkeiten zur sicheren KI-Entwicklung in der realen Welt zu testen.

Jedes Thema umfasst ein kurzes Einführungsvideo, Leitlinien, eine geführte Walkthrough-Einführung und eine originelle, anspruchsvolle Boss-Mission aus Cybermon 2025. Diese immersiven Szenarien konzentrieren sich auf praktische KI-Schwachstellenklassen, die Entwickler im Zuge der Weiterentwicklung KI-fähiger Anwendungen verstehen müssen.

Die vier Boss-Missionen zielen jeweils auf unterschiedliche KI-Risikobereiche ab und simulieren reale Bedrohungsmuster in KI-gestützten Systemen.

• バイパソー — ダイレクト・プロンプト・インジェクション
• Keykraken — Indirekte Prompt-Injektion
• Promptgeist — Schwachstellen von Vektoren und Einbettungen
• Proxy Surfer — Übermäßige Agentur

Bitte führen Sie es wie gewünscht aus.

Es wird empfohlen, jeweils einen Boss ins Rampenlicht zu stellen und den Fokus auf die jeweiligen Schwachstellen zu legen. Viele Organisationen entscheiden sich für Folgendes:

• Als Schwerpunkt des AI-Sicherheitssprints wird wöchentlich ein Chef eingesetzt.
• または、「今月の脆弱性」イニシアチブとして毎月１回

Für Administratoren, die interne Veranstaltungen organisieren, stehen in der Wissensdatenbank strukturierte Rollout-Anleitungen und herunterladbare Branding-Assets zur Verfügung.
Cybermon 2025: Veranstalten Sie Ihr eigenes „Beat the Boss”-Event

Implementierung von KI-Sicherheitsmaßnahmen

Die Entwicklung durch KI-Beschleunigung verändert die Situation der Software-Risiken grundlegend. Für neu auftretende Schwachstellenklassen ist mehr als nur das Erkennen erforderlich, es bedarf auch anwendungsbezogener Erfahrung.

Mit Beat the Boss können Unternehmen sich weiterentwickelnde KI-Bedrohungsmuster in praktische Entwicklerfähigkeiten umwandeln.

Entwickler können jede Aufgabe einzeln ausprobieren und sich die geführte Walkthrough-Lösung ansehen, um ihr Verständnis für die Denkweise von Angreifern und ihre Verteidigungsstrategien zu verbessern. Für das Lernen nach der Herausforderung stehen Walkthrough-Videos zur Verfügung, die die gesamte Lösung zeigen.

Viele Teams erweitern ihre Erfahrungen durch interne Wissensaustauschsitzungen und verlagern das ereignisbasierte Lernen von einem wettbewerbsorientierten zu einem kooperativen Ansatz. Sicherheit und Entwicklung sind Teamsportarten. Die Zusammenarbeit von Entwicklern, Sicherheitsverantwortlichen und Ingenieurteams zum Verständnis und zur Abwehr der wachsenden Angriffsfläche durch KI schützt Unternehmen am besten. Debriefings, der Austausch von Lösungsansätzen und die Förderung von Diskussionen zwischen Teams tragen dazu bei, individuelle Herausforderungen in kollektive Fähigkeiten umzuwandeln.

Durch die Integration von Beat the Boss in Ihre Sicherheitscodierungsinitiativen können Sie die messbare AI-Sicherheitsreife Ihres gesamten Entwicklungsteams verbessern und gleichzeitig die sichere Einführung von KI stärken.

Beginnen wir

Cybermon 2025: Die „Beat the Boss“-Sammlung wird angezeigt, wenn Sie eine neue Quest erstellen, und zwar im Abschnitt „Spezifische Konzepte“ des „Sicherheitskonzepts“. Melden Sie sich bei Ihrem Secure Code Warrior-Konto an . Richten Sie die Rollout-Einstellungen ein, um die sichere KI-Entwicklung im gesamten Team zu verbessern.

Das Gesetz zur Cyberresilienz wird nicht nur für Unternehmen mit Sitz in der EU, sondern für alle Unternehmen, die digitale Produkte auf dem europäischen Markt verkaufen, schnell zu einer strategischen Priorität. Die Frist für die Einhaltung der Vorschriften läuft bis 2027, aber die Ingenieurs- und Sicherheitsteams stellen bereits jetzt strenge Fragen zu Security-by-Design-Praktiken, Schwachstellenbehandlung und Entwicklungskapazitäten.

Im Gegensatz zu vielen Vorschriften, die sich auf Dokumentation und Audits konzentrieren, legt die CRA Folgendes fest: Sichere Softwareentwicklung und -design sind das Herzstück der Compliance. Unternehmen, die frühzeitig in Security-by-Design-Funktionen investieren, erreichen schneller Compliance und heben sich in einem Markt hervor, in dem die Sicherheit von Produkten zunehmend zu einem Kaufkriterium wird.

Was das Gesetz zur Cyber-Resilienz verlangt

Das Gesetz über Cyberresilienz (CRA) führt grundlegende Cybersicherheitsanforderungen für die meisten Produkte ein, die digitale Komponenten wie Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme enthalten und auf dem EU-Markt erhältlich sind.

さらに重要なのは、シフトすることです 責任が置かれる場所。

Sicherheit ist nicht mehr nur eine Frage der Ausführung und des Betriebs. Unter CRA gilt Folgendes: Verpflichtungen in Bezug auf Design und Entwicklung erstrecken sich über Architektur, Implementierung, Wartung und Schwachstellenbehandlung.

Für Führungskräfte im Bereich Engineering und Sicherheit bedeutet dies Folgendes:

• Das Produkt muss gemäß den Prinzipien des Secure-by-Design-Konzepts hergestellt werden.
• Bekannte Schwachstellen müssen so weit wie möglich verhindert und effektiv behandelt werden.
• Organisationen müssen nachweisen, dass sichere Entwicklungspraktiken umgesetzt werden.

Das bedeutet, dass Compliance untrennbar mit der Art und Weise verbunden ist, wie Entwickler Code erstellen und verwalten.

Wer unterliegt der CRA?

Obwohl von der EU eingeführt, gilt die CRA für alle Organisationen weltweit. Dadurch gelangen digitale Produkte, darunter auch die folgenden, auf den EU-Markt.

• Softwareanbieter und SaaS-Anbieter, die Dienste anbieten, die als Remote-Datenverarbeitungskomponenten für bestimmte Produkte fungieren
• Hersteller von digitalen Produkten oder vernetzten Produkten
• Importeure, Händler, Einzelhändler
• Organisationen, die digitale Komponenten von Drittanbietern integrieren

Für globale Unternehmen ist die Einhaltung der CRA-Vorschriften keine Frage der grenzüberschreitenden Entwicklungsanforderungenoder der regionalen Compliance-Maßnahmen.

Warum die Organisation jetzt damit beginnt

Wichtige Meilensteine:

• September 2026 – Beginn der Meldepflicht für Sicherheitslücken
• Dezember 2027 – Vollständige Compliance erforderlich

Auf dem Papier mag diese Zeitachse komfortabel erscheinen. In der Realität vollzieht sich die Transformation der Entwicklung jedoch nicht quartalsweise, sondern über mehrere Jahre hinweg.

Sicherheit durch Design ist keine Aktualisierung der Richtlinien. Dazu ist Folgendes erforderlich:

• Tausende Entwickler über Sprachen und Teams hinweg weiterbilden
• Sichere Erwartungen aus der Entwurfsphase in den täglichen Arbeitsablauf integrieren
• Übergang von reaktiven Schwachstellenbehebungen zu präventiven Maßnahmen
• Erstellung messbarer Nachweise, die belegen, dass sichere Entwicklungsmethoden konsequent angewendet werden

Diese Veränderungen wirken sich auf die Personalbeschaffung, die Einarbeitung neuer Mitarbeiter, Architekturentscheidungen, SDLC-Prozesse und die Ingenieurskultur aus. Unternehmen, die diese Veränderungen bis Ende 2026 aufschieben, werden unter dem Druck der Regulierung versuchen, ihre Fähigkeiten zu verbessern, was jedoch mit weitaus höheren Kosten und größeren Störungen verbunden sein wird.

Die Umsetzung ist mit erheblichen finanziellen Risiken verbunden. Gemäß Artikel 64 der CRA können bei Verstößen gegen wichtige Cybersicherheitsanforderungen Geldstrafen in Höhe von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängt werden.

Es ist zu spät, bis zur zweiten Hälfte des Jahres 2026 zu warten.

CRA ist letztendlich eine Frage der Entwicklerfähigkeiten.

Viele Vorschriften legen den Schwerpunkt auf Richtlinien und Dokumentation. Die CRA geht noch einen Schritt weiter und verbindet Compliance mit den tatsächlichen Praktiken, die bei der Entwicklung und dem Aufbau von Software zum Einsatz kommen. Dadurch steigen die Erwartungen an eine sichere Entwicklung nicht nur als reine Governance-Anforderung, sondern als operative Disziplin.

Für Engineering-Leiter hängt Compliance davon ab, ob das Entwicklungsteam die folgenden sicheren Praktiken konsequent anwendet.

• Verständnis allgemeiner Schwachstellenklassen
• Anwendung sicherer Design- und Architekturprinzipien
• Vermeidung unsicherer Implementierungsmuster
• Verantwortungsvoller Umgang mit Komponenten von Drittanbietern und Open-Source-Komponenten

Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Allerdings werden die Schwachstellen der Tools erst nach dem Schreiben des Codes sichtbar. Um Security by Design zu realisieren, müssen Entwickler zunächst Schwachstellen verhindern und dies unabhängig von Teams, Sprachen und Produkten konsequent tun.

Dies lässt sich nicht allein mit Tools realisieren. Die Ergebnisse von Security by Design werden durch Folgendes bestimmt: Menschliche Fähigkeiten.

Wie Secure Code Warrior die CRA-Vorbereitung unterstützt

Secure Code Warrior bietet einen CAR-konformen Lernpfad. Das ist eine Kombination aus:

• Eine Zuordnung zu den technischen Schwachstellenanforderungen in Anhang I, Teil I der CRA-Standardquest.
• Eine Kollektion nach dem „Secure by Design“-Konzept
• Sprachspezifisches praktisches Lernen über Schwachstellen

Sehen Sie sich die einseitige Übersicht über alle Lerninhalte an, die auf die CRA von SCW abgestimmt sind. SCW bescheinigt keine Compliance. Wir unterstützen Sie bei der Vorbereitung auf die CRA durch: strukturiertes Lernen gemäß den Grundsätzen der sicheren Entwicklung von Vorschriften und messbare Kompetenzsteigerung.

Beginnen Sie jetzt mit dem Aufbau Ihrer CRA-Bereitschaft

CRA spiegelt die Richtung wider, in die sich die Branche bewegt. Das bedeutet, dass standardmäßig Sicherheit durch Design-Engineering gefordert wird. Unternehmen, die derzeit in die Fähigkeiten ihrer Entwickler investieren, sind nicht nur in Bezug auf Compliance im Vorteil, sondern auch beim langfristigen Aufbau widerstandsfähigerer und risikoärmerer Software.

Weitere Informationen darüber, wie Secure Code Warrior zur Einhaltung von Compliance-Vorgaben beiträgt, finden Sie in der folgenden Wissensdatenbank. Wie Secure Code Warrior zur Einhaltung von Compliance-Vorgaben beiträgt

Wir beginnen mit einer eingehenden Untersuchung der 10 grundlegenden Faktoren für den Erfolg. Der erste Faktor ist: Definierte und messbare Erfolgskriterien. Wenn das Secure-Coding-Programm mit einer Reise verglichen werden kann, dann ist der erste und wichtigste Schritt, genau zu wissen, wohin man reisen möchte. Das ist der Kern des ersten Faktors.

Erfolgskriterien mit Geschäftsergebnissen verknüpfen

Um ein erfolgreiches Programm für sicheres Codieren aufzubauen, sind klare Ziele erforderlich, die eng mit den Geschäftsergebnissen verknüpft sind. Enabler 1 beantwortet die zentrale Frage: „Was sind die Probleme und Herausforderungen, die mit dem Programm für sicheres Codieren gelöst werden sollen, in sehr konkreten und messbaren Begriffen?“

Vermutlich sucht Ihr Unternehmen nach Möglichkeiten, um Compliance-Anforderungenzu erfüllenoder Sicherheitsverletzungen und Cyberangriffe zu vermeiden. Oder vielleicht möchten Sie als Unternehmen von Grund auf neu beginnen, um die Kosten und den Zeitaufwand für Nachbesserungen zu reduzieren und Ihre Entwickler so zu schulen, dass sie von Anfang an sicher programmieren können.

Unabhängig von der Motivation, der aktuellen Situation der Organisation oder der gewählten Sicherheits-Schulungsplattform hängt der langfristige Erfolg des Programms in hohem Maße davon ab, dass klare Ziele festgelegt werden, die mit den Geschäftszielen verknüpft sind, um Zustimmung zu gewinnen und dauerhaften Erfolg sicherzustellen.

Berücksichtigen Sie bei der Festlegung der Erfolgskriterien die wichtigsten Stakeholder Ihres Programms. Wenn Sie Ihre Sponsoren in der Führungsetage und deren Geschäftsziele kennen, können Sie eine breitere Akzeptanz in allen Abteilungen erreichen.

Erfolg konkret und messbar machen

Diese Ziele müssen aufgrund ihrer Natur organisationsspezifisch sein. Dennoch sollten Sie die folgenden typischen Geschäftsziele überprüfen und überlegen, wie sie neue Ideen hervorbringen können.

Risikominderung: Mindern Sie Entwicklerrisiken und reduzieren Sie Schwachstellen, die durch Fehler im Code entstehen. Dazu gehören die Identifizierung von Risiken und die Verringerung der Angriffsfläche von Anwendungen.

Programme zielen häufig auf Kennzahlen wie die Reduzierung und Vermeidung der Schwachstellendichte oder der Schwachstellen-Injektionsrate ab.

Operative Geschwindigkeit: Maximieren Sie die Geschwindigkeit der Produktlieferung, reduzieren Sie die Frustration und Fluktuation der Entwickler und verringern Sie den Zeitaufwand für Nacharbeiten. Schulungen zum Thema sicherer Code sind ein wichtiger Anreiz für Entwickler, da sie ihnen helfen, zeitaufwändige Nacharbeiten an fehlerhaftem Code zu vermeiden, der erst später im Softwareentwicklungszyklus entdeckt wird.

Programme zielen häufig darauf ab, die durchschnittliche Zeit bis zur Behebung (MTTR) von Schwachstellen durch Entwickler zu reduzieren.

Einhaltung gesetzlicher Vorschriften: Erreichen Sie externe Compliance, beispielsweise durch die Einhaltung von Standards wie PCI-DSS (der Schulungen für alle Entwickler vorschreibt, die an Zahlungssystemen arbeiten).

Talent und Vertrauen: Steigern Sie das Engagement und das Bewusstsein für Sicherheit und Schwachstellen innerhalb der Entwicklerorganisation und stärken Sie gleichzeitig das Vertrauen Ihrer Kunden. Für einige Unternehmen tragen sicherheitsbewusste Entwickler dazu bei, sich vom Markt abzuheben.

Programme legen häufig Mindestanforderungen an die Fähigkeiten von Entwicklern fest oder schaffen sogar spezielle Security-Champion-Programme.

Dokumentation des Erfolgs im gemeinsamen Erfolgsplan

Nachdem die Erfolgskriterien definiert wurden, besteht der nächste Schritt darin, diese Kriterien in einem gemeinsamen Erfolgsplanzu dokumentieren. Dieser Plan ist ein Entwurf, der mit den wichtigsten Stakeholdern des Programms und über Abteilungsgrenzen hinweg geteilt wird, einschließlich externer Unterstützung wie der Schulungsplattform CSM.

Der Erfolgsplan umfasst Folgendes:

1. Wertetreiber: Dazu gehören allgemeine Geschäftsziele wie die Verbesserung der Codesicherheit und die Beantwortung der Frage nach dem „Grund“ für das Programm.
2. Aktueller Stand: Damit wird festgestellt, wo wir derzeit stehen (z. B. aktuelle Kenntnisse im Bereich sicheres Programmieren und vorhandene Schulungsprogramme).
3. Zukünftiger (wünschenswerter) Zustand: Als Nächstes halten Sie fest, „wo wir hinwollen“. Machen Sie dann deutlich, wie Sie die Lücken in Ihren Secure-Coding-Fähigkeiten schließen wollen.
4. KPI / Major: Diese sind Indikatoren für den Erfolg und zeigen, dass sich die Lücke zwischen dem aktuellen und dem zukünftigen Zustand mit der Entwicklung des Programms verringert.

Es wird empfohlen, mit einem oder zwei spezifischen Kennzahlen zu beginnen und diese bei Bedarf später zu erweitern.Diese KPIs/Maßnahmen müssen den S.M.A.R.T.-Prinzipien (spezifisch, messbar, erreichbar, relevant, terminiert) entsprechen. Sie müssen leicht nachverfolgbar sein und keine vagen Interpretationen zulassen. Um den Plan in die Tat umzusetzen, ist eine umfassende Rechenschaftspflicht erforderlich, und es ist notwendig, gemeinsam mit den Führungskräften regelmäßig und in vereinbarten Abständen den Wert und den ROI zu überprüfen.

Durch die explizite Definition und Messung dieser Kriterien wird das Secure-Coding-Programm von einer reinen Kostenstelle zu einem nachweisbaren Motor für wichtige Geschäftsergebnisse. Dies ist der erste Schritt, der erforderlich ist, um das Programm ausgereift zu gestalten.

Als Nächstes werde ich näher darauf eingehen. Enabler 2: Senior Leadership Sponsorship Wir werden die wichtige Rolle der Führung bei der erfolgreichen Umsetzung des Secure Coding Programms diskutieren.

Haben Sie weitere Fragen?Kunden können sich an das Account-Team wenden oder eine E-Mail an support@securecodewarrior.comsenden. Interessenten können sich an uns wenden, um mit einem Mitglied unseres Vertriebsteams zu sprechen. Hier.

Eine Person, die sich dazu entschließt, sich kopfüber in ein Start-up-Unternehmen zu stürzen, wird mit vielen Begriffen bezeichnet, vom ambitionierten „Unternehmer“ bis hin zum deutlich weniger glamourösen „total verrückt“. Nach elf Jahren an der Spitze von Secure Code Warrior befinde ich mich glücklich irgendwo dazwischen. 

Die letzten fünf Jahre waren für viele eine Lektion in Sachen Widerstandsfähigkeit, mit unerwarteten Herausforderungen, wirtschaftlicher und anderer Art, die selbst einige der klügsten Köpfe der Welt nicht vorhersagen konnten. Man könnte hier an das Prinzip „Survival of the Fittest“ denken, aber ich bevorzuge dieses Zitat:

„Es sind nicht die Stärksten einer Spezies, die überleben, und auch nicht die Intelligentesten. Es sind diejenigen, die sich am besten an Veränderungen anpassen können.“

(Dies wird oft fälschlicherweise Charles Darwin zugeschrieben, aber tatsächlich stammt es von Professor Leon C. Megginson, der Darwins Werk „Die Entstehung der Arten“ zusammenfasste. Hoffentlich gewinnen Sie damit irgendwann einmal einen tollen Preis bei einem Pub-Quiz.)

Gibt es in unserer Welt ein besseres Beispiel für Wandel und Anpassungsfähigkeit als künstliche Intelligenz? Mehr als drei Jahre nach der Veröffentlichung von LLM versuchen wir immer noch zu verstehen, was diese Iteration ist, was sie leisten kann und wie sie uns in praktisch jeder heute existierenden Rolle am besten dienen kann. Unabhängig davon ist sie nicht mehr wegzudenken, und insbesondere als Cybersicherheitsexperten müssen wir ihr einen Schritt voraus sein, um sie zu schützen, auch wenn es noch keine offiziellen Leitplanken und Vorschriften gibt.

2025 war ein wichtiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte Arbeit mit sich bringt, in das Jahr 2026. 

Wir haben einige wichtige Meilensteine erreicht, darunter unseren Vorstoß in den Bereich der Absicherung von KI-gestützter Softwareentwicklung. Wir haben:

• Veröffentlicht Trust Agent: KI in die Beta-Testphase: Neue Forschungsergebnisse der CCIA bestätigen, dass generative KI die am schnellsten eingeführte Technologie der Geschichte ist. Daher ist es nicht verwunderlich, dass KI-Codierungsagenten und -Assistenten bei Entwicklern großen Anklang finden, einschließlich übereilter Einführungen auf Unternehmensebene, die schneller voranschreiten als die entsprechenden Sicherheitsprogramme.
  
  Unsere neueste Technologie, Trust Agent: AI, liefert die fehlende Komponente der Transparenz und Governance für KI-generierten Code. Sie bietet Sicherheitsverantwortlichen in Unternehmen die umfassende Beobachtbarkeit und Kontrolle, die sie benötigen, um die Einführung von KI in ihrem Softwareentwicklungslebenszyklus (SDLC) sicher zu verwalten, ohne dabei die Sicherheit zu beeinträchtigen.
• Wir haben unseren letzten großen Umsatzmeilenstein übertroffen: Das Übertreffen unseres Umsatzziels ist ein Beweis für die Hartnäckigkeit und Innovationskraft des gesamten Secure Code Warrior . Als wir diese Reise begannen, war es unsere Mission, über den „Checkbox“-Ansatz in Sachen Sicherheit hinauszugehen und Entwickler tatsächlich in die Lage zu versetzen, von der ersten Zeile an sicheren Code zu schreiben.
  
  Die Tatsache, dass diese Vision bei so vielen globalen Unternehmen Anklang findet, beweist, dass die Branche ihren Fokus endlich auf entwicklerzentrierte Sicherheit verlagert, und ich könnte nicht stolzer sein darauf, wie sich unsere Warriors dafür eingesetzt haben, Software für alle sicherer zu machen.
• Expertenintegrationen mit strategischen Partnern: Unsere Partnerschaften mit großartigen Unternehmen wie Aikido, OpenText und Black Duck stellen einen bedeutenden Schritt vorwärts in unserer Mission dar, ein nahtloses, entwicklerorientiertes Sicherheitsökosystem zu schaffen. Indem wir die Lücke zwischen der Identifizierung von Schwachstellen und der Bereitstellung der spezifischen Fähigkeiten zu deren Behebung schließen, schließen wir effektiv den Kreis der entwicklerorientierten Software-Risiken.
  
  Ich bin unglaublich stolz auf diese Partnerschaft, die eine strategische Verlagerung weg von fragmentierten Tools hin zu einer einheitlichen Erfahrung bedeutet, bei der Sicherheit eine natürliche Erweiterung des Entwicklungsworkflows ist.

Zu Beginn eines weiteren wichtigen Jahres möchte ich mich bei unseren immer zahlreicher werdenden Unterstützern bedanken, insbesondere denen aus der breiteren Cyber-Community, die sich weiterhin für die Bekämpfung wiederkehrender Schwachstellen, mangelnden Sicherheitsbewusstseins und minderwertiger Code-Ausgabe einsetzen. Durch die Einführung eines neuen, sichereren Standards können wir erste echte Verbesserungen bei der Sicherheit unserer Software, Dienste und Technologien feststellen. 

Wir investieren mit voller Kraft in eine Zukunft, in der KI unter der Aufsicht qualifizierter Menschen den Großteil des Codes schreibt. Unser SCW Learning entwickelt sich schnell weiter, um den Anforderungen dieser neuen Welt gerecht zu werden, und unser SCW Trust Agent: AI wird in den nächsten drei Monaten verfügbar sein, um den sicheren Betrieb von LLMs, MCPs und mehr im SDLC zu unterstützen. Außerdem stehen wir kurz davor, eine spannende neue Partnerschaft mit einem wichtigen Marktteilnehmer bekannt zu geben.

Bleiben Sie dran!

この記事のバージョンが掲載されました SC Magazine。ここで修正およびシンジケートされています。


泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。

Stellen Sie sich vor, Ihr Haus wurde zerstört, weil Diebe selbst Schlüssel angefertigt haben. Sie schleichen sich heran und kommen und gehen, wie es ihnen gefällt, wobei sie darauf achten, nicht bemerkt zu werden. Und eines Tages bemerken Sie zu spät, dass der im Gefrierschrank versteckte Schmuck verschwunden ist, der Safe leergeräumt wurde und Ihre persönlichen Gegenstände geplündert wurden.Dies entspricht genau der Realität, mit der Unternehmen konfrontiert sind, wenn sie Opfer eines Zero-Day-Cyberangriffs werden. Eine Studie des Ponemon Institute aus dem Jahr 2020 ergab Folgendes: 80 % der erfolgreichen Datenlecks sind das Ergebnis von Zero-Day-Exploits, und leider sind die meisten Unternehmen nicht darauf vorbereitet, diese Statistik deutlich zu verbessern.

Bei Zero-Day-Angriffen hat der Angreifer natürlich als Erster Zugriff, sodass Entwickler keine Zeit haben, potenzielle Schwachstellen zu entdecken und zu beheben. Wenn Schäden auftreten, kommt es zu einem hektischen Wettlauf, um sowohl die Software als auch den Ruf des Unternehmens wiederherzustellen. Angreifer sind immer im Vorteil, daher ist es wichtig, diesen Vorsprung so weit wie möglich zu verringern.

Log4Shell, ein unerwünschtes Weihnachtsgeschenk, erobert derzeit das Internet und soll mehr als eine Milliarde Geräte betreffen, die von dieser verheerenden Java-Sicherheitslücke betroffen sind. Dies könnte der schlimmste Zero-Day-Angriff aller Zeiten werden, und er hat gerade erst begonnen. Dennoch berichten einige Berichte, dass der Exploit bereits einige Tage vor seiner Veröffentlichung gestartet wurde. Präsentation auf der Black Hat-Konferenz 2016 lässt vermuten, dass das Problem schon seit einiger Zeit bekannt war. Das tut weh. Erschwerend kommt hinzu, dass diese Schwachstelle sehr leicht auszunutzen ist und alle Skriptkrampf-Hacker und Bedrohungsakteure weltweit darauf abzielen.

Was ist nun der beste Weg, um sich vor bösartigen Bedrohungen zu schützen, ganz zu schweigen von den Schwachstellen, die im Softwareentwicklungsprozess übersehen wurden? Schauen wir uns das einmal an.

Zero-Day-Angriffe auf große Ziele sind selten (und teuer).

Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Day-Exploits erzielen beispielsweise tendenziell beträchtliche Summen. Zum Zeitpunkt der Erstellung dieses Artikels sind sie mit 2,5 Millionen Dollar gelistet.Es handelt sich zwar um einen gemeldeten Missbrauch von Apple iOS, aber es ist nicht verwunderlich, dass die von Sicherheitsforschern angebotenen Preise in die Höhe schnellen. Schließlich könnte dies tatsächlich ein Tor sein, um Millionen von Geräten zu kompromittieren, Milliarden vertraulicher Datensätze zu sammeln und dies so lange wie möglich zu tun, bevor es entdeckt und gepatcht wird.

Aber wer verfügt überhaupt über solche Geldmittel? In der Regel beschaffen sich organisierte Cyberkriminelle Geldmittel für besonders beliebte Ransomware-Angriffe, wenn sie diese für lohnenswert halten. Allerdings sind Regierungen und Verteidigungsbehörden weltweit Kunden für Exploits, die für Bedrohungsinformationen genutzt werden können. In einem positiveren Szenario könnten Unternehmen selbst zu Käufern potenzieller Zero-Day-Exploits werden, um Katastrophen abzuwenden.

2021 wurde der Rekord gebrochen. Am stärksten von Zero-Day-Exploits betroffen und dem Risiko einer Untersuchung ihrer Schwachstellen ausgesetzt sind große Organisationen, Regierungsbehörden und Infrastrukturen. Es gibt keine Möglichkeit, sich vollständig vor Zero-Day-Angriffen zu schützen, aberaber mit einem großzügigen und gut strukturierten Bug-Bounty-Programm kann man das Risiko ein wenig „mildern“. Anstatt darauf zu warten, dass jemand auf dem Dark-Web-Marktplatz den Schlüssel zum Software-Schloss anbietet, sollten Sie sich legitime Sicherheitsfanatiker zu Verbündeten machen und angemessene Belohnungen für ethische Offenlegungen und potenzielle Korrekturen anbieten.

そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません（そうする価値はあります）。

Die Verwendung von Tools kann eine Belastung für Sicherheitsbeauftragte darstellen.

Komplexe Sicherheitstools sind seit langem ein Problem, und der durchschnittliche CISO verwaltet zwischen 55 und 75 Tools in seinem Sicherheitsarsenal. Abgesehen davon, dass sie die unübersichtlichsten (im übertragenen Sinne) Schweizer Taschenmesser der Welt sind, geben 53 % der Unternehmen an, dass sie nicht einmal sicher sind, ob sie effektiv arbeiten. Eine Studie des Ponemon Institute ergab, dass nur 17 % der CISOs ihre Sicherheitsmaßnahmen als „vollständig effektiv” betrachten.

Burnout-Syndrom, Mangel an Fachkräften mit den erforderlichen Sicherheitskenntnissen, Notwendigkeit von Agilität – in diesem Bereich, der für diese Probleme bekannt ist, stellt die Verarbeitung einer enormen Datenmenge in Form von Toolsets, Berichten und Überwachungsdaten eine große Belastung für Sicherheitsexperten dar. Dies ist genau das Szenario, das dazu führen kann, dass kritische Warnmeldungen übersehen werden, was auch bei der angemessenen Bewertung der Log4j-Schwachstelle der Fall sein könnte.

Präventive Sicherheit muss eine entwicklergesteuerte Bedrohungsmodellierung umfassen.

Code-Level-Schwachstellen werden häufig von Entwicklern eingeführt. Um sichere Codierungsfähigkeiten zu erwerben, sind genaue Anleitungen und regelmäßige Lernpfade erforderlich. Entwicklern der nächsten Stufe wird jedoch die Möglichkeit geboten, im Rahmen des Softwareentwicklungsprozesses Threat Modeling zu erlernen und anzuwenden.

Es ist nicht überraschend, dass diejenigen, die die Software eines Unternehmens am besten kennen, die Entwickler sind, die sie erstellt haben. Wenn sie sich bewusst sind, wie Benutzer die Software bedienen, wo sie Funktionen nutzen und wie die Sicherheit funktioniert, verfügen sie über fundierte Kenntnisse über Szenarien, in denen die Software beschädigt oder missbraucht werden könnte.

Wenn wir uns wieder dem Log4Shell-Exploit zuwenden, sehen wir leider ein Szenario, in dem selbst Experten und komplexe Toolsets diese kritische Schwachstelle nicht erkennen können. Allerdingswäre dies möglicherweise gar nicht aufgetreten, wenn die Bibliothek so konfiguriert gewesen wäre, dass sie Benutzereingaben saniert. Die Entscheidung, dies nicht zu tun, war offenbar eine vage Funktion, um die Benutzerfreundlichkeit zu erhöhen, machte es jedochsehr einfach, sie zu missbrauchen (denken Sie an das Niveau einer SQL-Injection. Das ist sicherlich kein Geniestreich). Hätte eine Gruppe von sicherheitsbewussten, engagierten Entwicklern eine Bedrohungsmodellierung durchgeführt, wäre dieses Szenario wahrscheinlich theoretisiert und untersucht worden.

Ein hervorragendes Sicherheitsprogramm beinhaltet emotionale Elemente, und im Mittelpunkt der Lösung von Problemen, die von Menschen verursacht wurden, stehen menschliches Eingreifen und feine Unterschiede. Um eine effektive Bedrohungsmodellierung durchzuführen, sind Empathie und Erfahrung erforderlich, ebenso wie sicheres Codieren und Konfigurieren auf der Ebene der Software- und Anwendungsarchitektur. Dies ist keine Aufgabe, die Entwickler über Nacht bewältigen können, aber es ist ideal, einen klaren Weg vorzugeben, um die Fähigkeiten der Entwickler so weit zu verbessern, dass der Druck auf das Sicherheitsteam in Bezug auf diese wichtige Aufgabe verringert wird. (Dies ist auch eine hervorragende Möglichkeit, um Vertrauen zwischen beiden Teams aufzubauen).

Zero Day führt zu n Tagen.

Die nächste Stufe der Zero-Day-Abwehr besteht darin, Patches so schnell wie möglich zu verteilen. Wir möchten, dass alle Nutzer der anfälligen Software die Patches so schnell und zuverlässig wie möglich installieren, noch bevor Angreifer sie zum ersten Mal ausnutzen können. Die Stärke von Log4Shell liegt in seiner Robustheit und Wirksamkeit, obwohl es in Millionen von Geräten eingebaut ist, die möglicherweise von Heartbleed betroffen sind, und komplexe Abhängigkeiten in der gesamten Software-Entwicklung verursacht.

Realistisch gesehen gibt es keine Möglichkeit, solche hinterhältigen Angriffe vollständig zu verhindern. Wenn wir jedoch alle Mittel einsetzen, um hochwertige und sichere Software zu entwickeln, und uns verpflichten, bei der Entwicklung denselben Ansatz wie bei kritischen Infrastrukturen zu verfolgen, haben wir alle eine Chance, uns zu wehren.

KI-gestützte Entwicklung (oder die trendigere Variante „Vibecoding“) hat die Codeerstellung grundlegend verändert. Renommierte Entwickler setzen diese Tools in großem Umfang ein, und auch diejenigen unter uns, die schon immer ihre eigene Software entwickeln wollten, aber nicht über die entsprechenden Erfahrungen verfügten, nutzen diese Tools, um Assets zu erstellen, deren Entwicklung früher zu kostspielig und zeitaufwändig gewesen wäre. Diese Technologie wird als Beginn einer neuen Ära der Innovation angesehen, bringt jedoch auch eine Reihe neuer Schwachstellen und Risikoprofile mit sich, mit deren Eindämmung Sicherheitsverantwortliche zu kämpfen haben.

Eine aktuelle Entdeckung von InvariantLabs hat eine schwerwiegende Schwachstelle im Model Context Protocol (MCP) aufgedeckt, einem API-ähnlichen Framework, das leistungsstarken KI-Tools die autonome Interaktion mit anderer Software und Datenbanken ermöglicht. Dadurch werden sogenannte „Tool-Poisoning-Angriffe” möglich, eine neue Kategorie von Schwachstellen, die für Unternehmen besonders schädlich sein können.Auch führende KI-Tools wie Windsurf und Cursor sind davon nicht ausgenommen. Angesichts von Millionen von Nutzern sind das Bewusstsein und die Fähigkeiten zum Umgang mit diesem neuen Sicherheitsproblem von größter Bedeutung.

Derzeit sind die Ergebnisse dieser Tools nicht so konsistent und sicher, dass sie als unternehmensfähig bezeichnet werden können, wie in einem aktuellen Forschungsartikel von Vinesh Sai Narayana und Idan Hubler, Sicherheitsforschern bei AWS und Intuit, beschrieben: „Da KI-Systeme immer autonomer werden und über MCPs direkt mit externen Tools und Echtzeitdaten interagieren, wird es absolut unerlässlich, die Sicherheit dieser Interaktionen zu gewährleisten.“

Risikoprofil des Agentur-KI-Systems und des Modellkontextprotokolls

Das Model Context Protocol ist eine nützliche Software von Anthroopic. Es ermöglicht eine bessere und nahtlosere Integration von AI-Agenten mit großen Sprachmodellen (LLM) und anderen Tools. Dies ist ein starker Anwendungsfall, der vielfältige Möglichkeiten zwischen proprietären Anwendungen und SaaS-Tools wie GitHub, die für Unternehmen unverzichtbar sind, sowie modernsten AI-Lösungen eröffnet.Sie müssen lediglich einen MCP-Server schreiben und können dann damit beginnen, Richtlinien dafür festzulegen, wie er funktionieren soll und für welche Zwecke er eingesetzt werden soll.

Die Auswirkungen der MCP-Technologie auf die Sicherheit sind in der Praxis überwiegend positiv. Das Versprechen einer einfacheren Integration der von LLM und Sicherheitsexperten verwendeten Technologie-Stacks ist unübersehbar attraktiv und zeigt die Möglichkeit einer präzisen Automatisierung von Sicherheitsaufgaben auf einem bisher unmöglichen Niveau, zumindest ohne die Erstellung und Bereitstellung von benutzerdefiniertem Code für jede einzelne Aufgabe. Daten,Tools und Verantwortlichen sind die Grundlage für einen effektiven Sicherheitsschutz und eine effektive Sicherheitsplanung. In Anbetracht dessen ist die durch MCP ermöglichte verbesserte Interoperabilität von LLM eine vielversprechende Perspektive für die Unternehmenssicherheit.

Allerdings kann die Verwendung von MCP andere Bedrohungsvektoren hervorrufen, die ohne sorgfältige Verwaltung zu einer erheblichen Ausweitung der Angriffsfläche eines Unternehmens führen können. Wie Invariant Labshervorhebt, handelt es sich bei Tool-Poisoning-Angriffen um eine neue Kategorie von Schwachstellen, die zu Datenlecks und unberechtigten Aktionen durch KI-Modelle führen können, wodurch sich die Auswirkungen auf die Sicherheit schnell sehr negativ gestalten können.

Laut InvariantLabs sind Tool-Poisoning-Angriffe möglich, wenn böswillige Anweisungen, die für Benutzer nicht sichtbar sind, aber von KI-Modellen vollständig gelesen (ausgeführt) werden können, in die Beschreibung des MCP-Tools eingebettet sind. Dadurch wird das Tool dazu gebracht, unbemerkt vom Benutzer unzulässige Aktionen auszuführen. Das Problem liegt in der Annahme von MCP, dass alle Tool-Beschreibungen vertrauenswürdig sind, was für Angreifer interessant ist.

彼らは、ツールが危険にさらされると次のような結果になる可能性があることを指摘しています。

• Das KI-Modell wird angewiesen, auf vertrauliche Dateien (SSH-Schlüssel, Konfigurationsdateien, Datenbanken usw.) zuzugreifen.
• In einer Umgebung, in der diese böswilligen Handlungen vor unbekannten Benutzern verborgen bleiben, wird die KI angewiesen, diese Daten zu extrahieren und zu senden.
• Hinter der scheinbar einfachen Darstellung der Argumente und Ausgaben des Tools in der Benutzeroberfläche verbirgt sich eine Kluft zwischen dem, was der Benutzer sieht, und dem, was das KI-Modell ausführt.

Dies ist eine besorgniserregende neue Kategorie von Schwachstellen, die mit der unvermeidlichen Zunahme der Verwendung von MCPs mit ziemlicher Sicherheit häufiger auftreten wird. Da die Sicherheitsprogramme von Unternehmen weiterentwickelt werden, um diese Bedrohung zu erkennen und zu mindern, ist es wichtig, dass Entwickler gut vorbereitet sind, um sich an der Lösung zu beteiligen.

Warum nur Entwickler mit Sicherheitskenntnissen KI-Agent-Tools nutzen sollten

Agentische KI-Codierungstools gelten als nächste Evolutionsstufe der KI-unterstützten Codierung und bieten neben Funktionen zur Steigerung der Effizienz, Produktivität und Flexibilität der Softwareentwicklung auch die Möglichkeit, die Effizienz, Produktivität und Flexibilität der Softwareentwicklung zu steigern. Sie sind besonders nützlich, da sie über eine verbesserte Fähigkeit zum Verständnis von Kontext und Absichten verfügen, sind jedoch nicht immun gegen Bedrohungen wie sofortige Injektionen, Halluzinationen und Verhaltensmanipulationen durch Angreifer.

Entwickler sind die Verteidigungslinie zwischen guten und schlechten Code-Commits, und die Verbesserung ihrer Fähigkeiten sowohl im Bereich Sicherheit als auch im kritischen Denken wird die Grundlage für eine sichere Softwareentwicklung in der Zukunft bilden.

Die Ergebnisse der KI sollten niemals blind vertraut und implementiert werden. Nur Entwickler mit Sicherheitskompetenzen, die situationsbezogen kritisch denken können, sind in der Lage, die durch diese Technologie erzielten Produktivitätssteigerungen sicher zu nutzen. Dennoch muss es sich um eine Umgebung wie die des Pair Programming handeln, in der menschliche Experten die von den Tools erstellten Ergebnisse bewerten, Bedrohungsmodelle erstellen und schließlich genehmigen können.

Erfahren Sie mehr darüber, wie Entwickler mithilfe von KI ihre Fähigkeiten verbessern und ihre Produktivität steigern können. Hier.

Praktische Entspannungstechniken und weitere Details in den neuesten Forschungsarbeiten

KI-Codierungstools und MCP-Technologie werden voraussichtlich wichtige Faktoren für die Zukunft der Cybersicherheit sein, aber es ist wichtig, sich nicht zu sehr darauf zu konzentrieren, bevor man die Situation genau überprüft hat.

Narajala und Hubla beschreiben in ihrer Abhandlung ausführlich umfassende Strategien zur Risikominderung und zum kontinuierlichen Risikomanagement für die Umsetzung von MCP auf Unternehmensebene. Letztendlich konzentrieren sie sich auf die Prinzipien der mehrschichtigen Verteidigung und Zero Trust und beleuchten das einzigartige Risikoprofil, das dieses neue Ökosystem für die Unternehmensumgebung mit sich bringt. Insbesondere für Entwickler ist es unerlässlich, Wissenslücken in den folgenden Bereichen zu schließen.

• Authentifizierung und Zugriffskontrolle: Agent-basierte KI-Tools funktionieren so, dass sie Probleme lösen und autonome Entscheidungen treffen, um geplante Ziele zu erreichen, ähnlich wie Menschen bei der Bewältigung technischer Aufgaben. Wie jedoch bereits festgestellt wurde, ist die Überwachung dieser Prozesse durch erfahrene Fachleute nicht zu vernachlässigen. Daher müssen Entwickler, die diese Tools in ihren Arbeitsabläufen einsetzen, genau wissen, über welche Zugriffsrechte sie verfügen, welche Daten sie möglicherweise erfassen oder veröffentlichen und wo diese Daten geteilt werden.
• Erkennung und Minderung allgemeiner Bedrohungen: Wie bei den meisten KI-Prozessen müssen die Benutzer mit den Aufgaben vertraut sein, um potenzielle Mängel und Ungenauigkeiten in den Tool-Ausgaben zu erkennen. Entwickler müssen ihre Fähigkeiten kontinuierlich verbessern und überprüfen lassen, um Sicherheitsprozesse effektiv zu überprüfen. So können sie den von der KI generierten Code mit Blick auf Sicherheit und Zuverlässigkeit überprüfen.
• Die Verbindung zwischen Sicherheitsrichtlinien und KI-Governance: Entwickler müssen über zugelassene Tools informiert werden und die Möglichkeit erhalten, ihre Fähigkeiten zu verbessern und Zugang zu den Tools zu erhalten. Bevor man sich auf ein Commit festlegt, sollten sowohl die Entwickler als auch die Tools den Sicherheitsbenchmarks unterzogen werden.

Wir haben kürzlich eine Forschungsarbeit veröffentlicht, die sich mit dem Aufkommen von Vibecoding und AI-Assisted Coding sowie den Maßnahmen befasst, die Unternehmen ergreifen sollten, um die nächste Generation von Softwareentwicklern mit KI-Kenntnissen auszubilden. Lesen Sie sie jetzt und kontaktieren Sie uns, um Ihr Entwicklungsteam zu stärken.

この記事のバージョンは、最初に掲載されました D-Zone. Hier aktualisiert und syndiziert.

Die Payment Card Industry Data Security Standard (PCI DSS) Version 4.0 verändert fast alles in Bezug auf die Sicherheit von Unternehmen und Organisationen (die Mehrheit), die elektronische Zahlungen akzeptieren. Und zweifellos wird diese Aktualisierung für die meisten Unternehmen eine Umwälzung bedeuten. Sie müssen viele ihrer Sicherheitsprozesse aktualisieren und neue Schutzmaßnahmen in Bereichen einführen, in denen die Umsetzung bisher vielleicht nur langsam vorangekommen ist, wie Verschlüsselung, Authentifizierung, Zugriffskontrolle und Schlüsselverwaltung.

Die neuen Anforderungen sind komplex, sodass Unternehmen verpflichtet sind, bis März 2025 vollständig konform zu sein. Diese Frist rückt jedoch schneller näher, als den meisten Menschen bewusst ist. Tatsächlich ergreifen viele vorausschauende Unternehmen bereits jetzt Maßnahmen, um Entwicklern zu helfen, die noch offenen Compliance-Anforderungen zu erfüllen.

Über die Grenzen des Trainings hinaus, das nicht an vorgefasste Meinungen gebunden ist

Da die Entwickler einer Organisation den Großteil des Codes erstellen, auf den die Infrastruktur basiert, ist es sinnvoll, dass sie bei der Implementierung der neuen PCI DSS 4.0-Anforderungen den Anfang machen. Allerdings benötigen die meisten Entwickler im Rahmen der aktuellen Programme zur Sensibilisierung für Sicherheitsfragen strategische Unterstützung, um ihre Fähigkeiten zu verbessern. So können sie die Erfahrungen sammeln, die für die Implementierung und Aufrechterhaltung des höheren Sicherheitsniveaus erforderlich sind, das der neue Standard verlangt.

Tatsächlich schreibt die Anforderung 12.6.2 des PCI DSS 4.0 vor, dass Organisationen ein formelles Sicherheitsprogramm implementieren und dieses mit den neuesten Bedrohungsinformationen und Abwehrtechnologien stets auf dem aktuellen Stand halten müssen.Nach den alten Standards konnten die Ziele auch mit grundlegenden Sicherheitsprogrammen und jährlichen Compliance-Schulungen im „Check-the-Box”-Format erreicht werden. Die neuen Standards verlangen jedoch noch mehr und schreiben auch Sicherheitsschulungsprogramme vor, die sich mit bestimmten Bedrohungen und Schwachstellen in der Unternehmensumgebung befassen. Wenn beispielsweise der Diebstahl personenbezogener Daten ein großes Problem für die Organisation darstellt, muss dies in den Schulungen behandelt werden.

Auch aus praktischer Sicht ist klar, dass selbst bei Einhaltung der neuen Standards minimale Schulungen nicht mehr ausreichen. Stattdessenmüssen Unternehmen ihren Entwicklern umfassende und agile Lernpfade anbieten, die ihnen vermitteln, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Anstatt sich auf die Mindestanforderungen zur Einhaltung der Vorschriften zu beschränken, können Unternehmen ihren Entwicklern die Ressourcen zur Verfügung stellen, die sie benötigen, um Sicherheit wirklich zu verstehen. So können Entwickler PCI DSS 4.0 einhalten und insgesamt fundiertere Sicherheitsentscheidungen treffen.

Glücklicherweise beziehen sich viele der neuen Anforderungen von PCI DSS 4.0 auf Bereiche, mit denen die meisten Entwickler bereits vertraut sind, darunter Authentifizierung, Verschlüsselung, Zugriffskontrolle und Schlüsselverwaltung. Wenn Entwicklern geeignete, relevante und vertraute Ressourcen zur Verbesserung ihrer Fähigkeiten zur Verfügung gestellt werden, können sich Organisationen leichter auf die neuen Standards und erhöhten Anforderungen von PCI DSS 4.0 vorbereiten.

PCI DSS 4.0 als Grundlage nutzen, um die allgemeine Sicherheit zu verbessern

Um die Einhaltung des neuen PCI DSS 4.0-Standards erfolgreich zu gewährleisten, ist es entscheidend, durch geeignete Sicherheitsschulungen auf die Bedürfnisse der Entwickler einzugehen. Die Bemühungen zur Stärkung der Cybersicherheit in Unternehmen enden jedoch nicht damit.Die Anforderungen sind zwar streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um diese zu erfüllen, gibt es keinen Grund, diese Maßnahmen nicht als Ausgangspunkt für die Verbesserung des allgemeinen Sicherheitsbewusstseins und der Schulungen zu nutzen. Dies hilft nicht nur den Unternehmen, die Compliance-Anforderungen zu erfüllen, sondern führt auch zur Schaffung einer positiven Sicherheitskultur, in der Best Practices Vorrang haben und alle Mitarbeiter des Unternehmens auf dasselbe sicherheitsorientierte Ziel hinarbeiten.

Es stimmt, dass das Lernen Zeit kostet, aber Entwickler werden sich mit solchen Anstrengungen beteiligen. Laut einer Umfrage von Evans Data befürwortet die überwiegende Mehrheit der mehr als 1.200 professionellen Entwickler, die weltweit aktiv sind, das Konzept, sicheren Code zu erstellen und eine bessere Sicherheitskultur in ihren Organisationen zu etablieren. Es ist offensichtlich, dass die meisten Entwickler den Übergang zu strategischem und unterstütztem sicherem Codieren und die Änderung der Sicherheitsprioritäten als Teil des Entwicklungsprozesses begrüßen.

Die in PCI DSS 4.0 vorgeschriebenen Sicherheitsupgrades bieten Unternehmen eine hervorragende Gelegenheit, in bewährte Sicherheitsverfahren und Schulungen zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb ihrer Organisation zu etablieren.

Wenn Unternehmen in Programme investieren, die Secure-Coding-Fähigkeiten mit entsprechenden Tools und Schulungen verbinden, können Entwickler ihre Sicherheitsreife leichter verbessern. Dies trägt zur Förderung einer Sicherheitskultur bei, in der Entwickler fundiertere Entscheidungen treffen können, um die allgemeine Sicherheitsstruktur des Unternehmens weit über die neuen strengen PCI DSS 4.0-Standards hinaus zu verbessern.
‍

Wenn man sich nur ein paar Minuten lang die Technik-News anschaut, wird schnell klar, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag gibt es Berichte über schwere Sicherheitsverletzungen, neue Schwachstellen oder die Gefahr, dass Cyberangriffe und Kriminelle aktiv werden. Und fast alle Branchenindikatoren und Berichte zeigen, dass die Zahl der Cyberbedrohungen immer weiter steigt. Die meisten Experten sagen voraus, dass sich dieser Trend in den nächsten Jahren fortsetzen wird.

Die Bekämpfung dieser neuen Bedrohungen erfolgt an vorderster Front durch IT-Sicherheitsbeauftragte, wobei Personalmangel und Personalknappheit immer gravierender werden. Trotz hoher Gehälter und ihrer unverzichtbaren Bedeutung für jedes Unternehmen und jede Organisation herrscht ein Mangel an Sicherheitsbeauftragten. Eine aktuelle Umfrage des Center for Strategic and International Studies ergab, dass 82 % der IT-Entscheidungsträger angaben, ihre Organisation leide unter einem Mangel an Cybersicherheitskompetenzen, und 71 % gaben an, dass dieser Mangel ihrer Organisation direkten und messbaren Schaden zugefügt habe. Dem Bericht zufolge gibt es allein in den USA mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während nur etwa 940.000 Menschen in diesem Bereich beschäftigt sind.

Weltweit gibt es derzeit etwa 3,5 Millionen offene Stellen im Bereich Cybersicherheit. Diese sind noch nicht besetzt. Das bedeutet, dass selbst Organisationen, die bereit sind, hohe Summen für die Einstellung und Bindung von Spitzenfachkräften zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle.

Die Unterstützung für Entwickler wurde viel zu lange vernachlässigt.

で書き留めました 過去のブログ多数 サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていなかったのです。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。

Leider geht es nicht nur darum, einfach die Richtlinien zu ändern und die Entwickler zu bitten, plötzlich damit zu beginnen, Anwendungen und Programme mit Sicherheitsfunktionen auszustatten. Selbst wenn die Entwickler bereit sind, solche Änderungen vorzunehmen, und Untersuchungen zeigen, dass dies in vielen Fällen auch tatsächlich geschieht, sind dennoch Schulungen erforderlich, um dies zu realisieren. Auch die Unterstützung und Ermutigung durch die Führungsetage ist notwendig, aber die Möglichkeit, sinnvoll zu lernen, ist die erste und in vielen Fällen auch die größte Hürde.

Es gibt einen Grund dafür, dass weltweit Millionen hochbezahlte und sichere Stellen im Bereich IT-Sicherheit unbesetzt sind. Wenn es sich um einfache Aufgaben handeln würde, würde sich jeder auf dieses Gebiet stürzen. Es ist jedoch schwierig, zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, zumal sich die Bedrohungslage ständig ändert. Selbst relativ technisch versierte Entwicklerkönnen sie keine effizienten Standardschulungen zur Cybersicherheit durchführen. Diese Schulungen müssen sofort durchgeführt werden, bleiben nicht im Gedächtnis haften und haben nur minimale positive Auswirkungen. Dies gilt insbesondere dann, wenn diese Anforderungen zu einem bereits überlasteten Zeitplan hinzukommen.

Bauen Sie ein Gerüst und erreichen Sie die Anhöhe.

Das Unterrichten von Cybersicherheitskompetenzen mit herkömmlichen Methoden ist wie der Versuch, ein Wolkenkratzergebäude zu bauen, ohne den Boden unter den Füßen zu verlassen. Da den Studierenden die Grundlagen fehlen, die zum Erlernen vieler hochkomplexer Konzepte in einem so komplexen Bereich wie der Cybersicherheit erforderlich sind, ist dies unmöglich. Um dies auszugleichen, kann das Konzept des „Scaffold Learning“ (gerüstbasiertes Lernen ) eingesetzt werden.

Bei einem stufenweisen Ansatz zur Kompetenzsteigerung, also einem „hierarchischen“ Ansatz, werden große Themen in der Regel in einzelne Lernerfahrungen und Konzepte unterteilt.Auf diese Weise können die Schüler jedes Konzept mit geeigneten Übungen und Anleitungen erlernen und erhalten alle erforderlichen Hilfestellungen für die einzelnen Elemente. Ähnlich wie bei einem Gebäude, dessen Höhe zunimmt, während die physische Gerüstkonstruktion errichtet wird, werden neue, fortgeschrittene Konzepte auf bereits erlernten Konzepten aufbauen. Auf diese Weise können die Schüler ein Verständnis und Fähigkeiten erwerben, die ohne Unterstützung nicht möglich wären.

Und genau wie bei einem physischen Gerüst wird diese Unterstützung schrittweise abgebaut, sobald sie nicht mehr benötigt wird, und mit zunehmender Kompetenz der Schüler wächst auch die Verantwortung, die ihnen übertragen wird.

Das Gerüstlernen wird hauptsächlich eingesetzt, um negative Emotionen und Selbstwahrnehmungen zu reduzieren, die Schüler möglicherweise erleben, wenn sie ohne Unterstützung an schwierigen Aufgaben arbeiten und dabei frustriert, verängstigt oder entmutigt sind.Es ist jedoch auch sehr wertvoll, wenn man sich mit sehr schwierigen Konzepten wie der modernen Cybersicherheit befasst. Es ist weit davon entfernt, Entwickler wie Kinder zu behandeln, und es ist besonders hilfreich, wenn die Erfahrungen im Sicherheitsteam zu Frustration und Entmutigung führen können, insbesondere wenn ihre Bemühungen mit Bugfixes und neuer Kritik zurückgeschickt werden.

Wenn Entwicklern Tools zur Verfügung gestellt werden, mit denen sie die Grundlagen des sicheren Programmierens verstehen können (in der Regel OWASP Top 10), können sie selbst überprüfen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie vor der Übertragung in die Produktionsumgebung behoben werden können.Von dort aus können sie ihr Wissen erweitern, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Ebenen werden nach und nach erweitert, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitekturen und Bedrohungsmodellierung geht, sind diese Sprünge nicht mehr so beängstigend und können präzise angegangen werden.

Als Branche sollten wir nicht erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards zur Unterstützung von Entwicklern einführen, um qualitativ hochwertigere Software zu erstellen. Als Bonus für Unternehmen, die sich in ihrer Entwicklungsabteilung um die Verbesserung der Fähigkeiten bemühen, führt jede Stufe oder jedes Level des Programms im Laufe des Lernprozesses direkt zu einer Verbesserung der Cybersicherheit. Sie müssen nicht bis zum Abschluss des Kurses warten, um Ergebnisse zu sehen.

Das Erlernen von Cybersicherheit ist schwierig und ohne angemessene Unterstützung und Anleitung nahezu unmöglich. Durch die Integration in die Sicherheitsprogramme kann das Potenzial voll ausgeschöpft werden, und die Vorteile werden fast sofort deutlich. Verbesserungen setzen fast sofort ein und werden mit der Zeit immer weiter optimiert.

Beginnen Sie gemeinsam mit uns die Ausbildung sicherheitsbewusster Entwickler. Bitte überprüfen Sie Folgendes:

Kurs
Mission
Entwicklertraining

... und vieles mehr!

Wir waren kürzlich sehr begeistert, als wir den ersten Beitrag des Forbes Technology Council sahen, eine Live-Übertragung von Peter Dunhu, dem Vorsitzenden und CEO. In diesem Beitrag wurde ausführlich erläutert, dass die Verbesserung der Fähigkeiten von Entwicklern zur Erstellung sichererer Codes der Schlüssel zur Verhinderung von Cyberangriffen und Datenlecks ist.Darüber hinaus wurde deutlich, wie dieselben sicherheitsbewussten Entwickler schneller als von vielen IT-Abteilungen angenommen besseren und sichereren Code liefern können. Die Notwendigkeit dieses Ansatzes ist zweifellos überzeugend. Jüngste Untersuchungen haben ergeben , dass derzeit alle 39 Sekunden ein Cyberangriff stattfindet undJeder hat erlebt, wie schon ein einziger erfolgreicher Ransomware-Angriff Chaos verursachen kann. Im Großen undGanzen war derColonial-Pipeline-Hack nicht so zerstörerisch wie der SolarWinds-Hack.

‍

Viele allgemeine Schwachstellen bestehen weiterhin, weil niemand den Entwicklern bewusst gezeigt hat, wie sie schlechte Codierungsmuster durch bessere Methoden ersetzen können, um dieselben Funktionen auf sicherere Weise zu realisieren.Außerdem ist die Korrektur von Software in einer späten Entwicklungsphase sowohl hinsichtlich des Zeitaufwands als auch der Verzögerung bei der Einführung mit sehr hohen Kosten verbunden. Nach der Bereitstellung des Codes kann die Korrektur von Code, insbesondere nachdem Angreifer bisher unentdeckte Schwachstellen ausgenutzt haben, Millionen von Dollar kosten. Dabei ist der Schaden für den Ruf des Unternehmens, das von einer schwerwiegenden Sicherheitsverletzung betroffen ist, noch nicht einmal berücksichtigt.

Entwickler, die eine Sicherheitsschulung absolviert haben, werden ganz natürlich zu hervorragenden Programmierern. Natürlich sollten CISOs nicht sofort auf Sicherheits-Tools verzichten, aber durch die Einführung eines integrativen und präventiven Sicherheitsansatzes auf Führungsebene können CISOs die größte Ressource ihres Unternehmens nutzen: den Faktor Mensch. Dies gilt insbesondere für sicheres Programmieren in den frühen Phasen des Softwareentwicklungszyklus.

Dazu sind im Folgenden die drei wichtigsten Strategien aufgeführt, die Sie sich merken sollten.

1. Handeln Sie vorausschauend, anstatt nur auf Probleme zu reagieren.

Unternehmen entwickeln und verfolgen oft keine eigene Vision, sondern geraten in die Falle, nur auf das Verhalten ihrer Konkurrenten zu reagieren. Außerdem verfolgen viele Unternehmen diesen Ansatz standardmäßig in Bezug auf Sicherheitslücken im Code und nehmen Cybersicherheit erst dann ernst, wenn sie aufgrund einer erfolgreichen Attacke dazu gezwungen sind. Leider ist der Schaden bis dahin bereits entstanden, und Geldstrafen, Wiederherstellungskosten, Kundenverluste und die Wiederherstellung der Marke beeinträchtigen den Gewinn.Anstatt sich auf Gegenmaßnahmen zu konzentrieren, kann man sich auch darauf konzentrieren, von Anfang an sicheren Code zu erstellen, indem man automatische oder manuelle Code-Scans einsetzt, um Schwachstellen im bestehenden Code aufzudecken. Leider sind Code-Scans keine perfekte Lösung. Das bedeutet, je mehr Schwachstellen der Code enthält, desto größer ist die Wahrscheinlichkeit, dass einige davon übersehen werden.

Nur durch einen proaktiven Ansatz und die Zusammenarbeit mit Entwicklern, um von Anfang an sicheren Code zu erstellen, kann ein Softwareentwicklungslebenszyklus etabliert werden, der das Risiko, dass Schwachstellen im Code für Benutzer sichtbar werden, erheblich verringert.

2. Verbessere deine Fähigkeiten, aber übertreibe es nicht.

Wenn Sie sich entschließen, Entwicklern das notwendige Wissen zur Erstellung sicherer Codes zu vermitteln, sollten Sie Ihren Ansatz mit Bedacht wählen. Interne Schulungsworkshops, die das Codieren unterbrechen, verärgern sowohl Entwickler als auch Administratoren. Externe Kurse, an denen man abends oder am Wochenende teilnehmen muss, sind noch unbeliebter. Der beste Ansatz ist es, die Codierfähigkeiten schrittweise zu vermitteln. Durch die schrittweise Bereitstellung relevanter Informationen während des Codierungsprozesses werden die Fähigkeiten grundlegend verbessert, ohne die Entwickler abzulenken oder den Entwicklungsprozess zu verlangsamen.

3. Geben Sie Anreize, ohne etwas zu vermuten.

Entwickler sollten die Verbesserung ihrer Sicherheitskompetenzen nicht als Strafe oder mühsame Arbeit betrachten. Manager müssen Entwickler motivieren, indem sie ihnen vermitteln, wie wichtig sicherer Code für den Erfolg des Unternehmens ist. Außerdem ist es wichtig, ihnen zu vermitteln, dass sichere Programmierer für das Unternehmen wertvoller sind und ihnen in Zukunft bessere Karrierechancen bieten.

Die Biden-Regierung wurde begrüßt Verwaltungsanordnung Der Fokus auf Cybersicherheit nimmt zu, und es wird immer wichtiger, „Standards zur Bewertung der Sicherheitspraktiken von Entwicklern und Lieferanten zu integrieren und innovative Tools und Methoden zu identifizieren, mit denen die Einhaltung sicherer Praktiken nachgewiesen werden kann“.Tools sind zwar unverzichtbar, reichen aber allein nicht aus. Es gibt kein Tool, das die Fähigkeit von Personen, eingeführte Systeme und Tools zu ignorieren, falsch zu interpretieren, zu missbrauchen oder auf andere Weise zu umgehen, vollständig ausschließt. Um die Sicherheit von Unternehmen zu maximieren, müssen CISOs den Faktor Mensch nutzen und Entwickler dazu ermutigen, sich aktiv für Sicherheit einzusetzen und diese zu praktizieren.