Leitfaden

Der ultimative Leitfaden für Sicherheitstrends bei Finanzdienstleistungen

Inhaltsübersicht

Wie Schulungen für sicheren Code die digitale Transformation im Finanzdienstleistungssektor unterstützen 

Finanzdienstleister stehen vor einer Reihe von Herausforderungen, die von ihrer Fähigkeit abhängen, Technologie in einer sich schnell entwickelnden Finanzwelt effizient und effektiv zu nutzen.

Unternehmen befinden sich in einer Zeit des schnellen Wandels - sowohl intern als auch branchenweit - in einem wettbewerbsintensiven, cloudbasierten Geschäftsumfeld. Bei ihren laufenden digitalen Transformationen arbeiten die Unternehmen beispielsweise daran, organisatorische Reibungsverluste zu vermeiden, die Investitionen in neue Technologien wie künstliche Intelligenz behindern, die Zahlungsprozesse und andere Verfahren beschleunigen könnten. 

Sie haben natürlich immer im Hinterkopf, dass sie eine ganze Reihe von Vorschriften einhalten müssen, angefangen bei den Anforderungen des Sarbanes-Oxely Act für die Verwaltung von Finanzunterlagen und den Vorschriften des Payment Card Industry Data Security Standard (PCI DSS) für den Schutz von Karteninhaberdaten bis hin zum Schutz personenbezogener Daten gemäß dem California Consumer Privacy Act (CCPA) und der Allgemeinen Datenschutzverordnung der EU (GDPR).

Bußgelder und andere Kosten für die Nichteinhaltung von Vorschriften können sich schnell summieren. Der IBM Cost of a Data Breach Report 2023 ergab, dass sich die durchschnittlichen Kosten für Unternehmen mit einem "hohen Maß an Nichteinhaltung" auf 5,05 Millionen US-Dollar belaufen - das ist mehr als eine halbe Million Dollar mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.

Apropos Datenschutzverletzungen: Cyberangriffe sind nach wie vor eine Geißel für Finanzinstitute, die am zweithäufigsten Ziel von Cyberangriffen sind. Allein die Ransomware-Angriffe haben dramatisch zugenommen: von 34 % im Jahr 2021 auf 55 % im Jahr 2022 und bis zu 64 % im Jahr 2023, so der Sophos Report " State of Ransomware in Financial Services 2023". Die Zahl der Datenkompromittierungen (einschließlich Datenschutzverletzungen und Offenlegung privater Daten) in der US-Finanzdienstleistungsbranche stieg laut Statista von 138 im Jahr 2020 auf 744 im Jahr 2023. 

Ein Versagen in einem dieser Bereiche - sei es bei der internen Effizienz, der Einhaltung von Vorschriften oder der Sicherheit - gefährdet den Ruf eines Unternehmens und damit auch die Kundenbindung, die das Lebenselixier von Finanzdienstleistungen ist. Um wettbewerbsfähig und erfolgreich zu bleiben, müssen Unternehmen das Vertrauen ihrer Kunden gewinnen, und das beginnt damit, dass sie sicherstellen, dass ihre Software, Systeme und Prozesse effizient und effektiv sind. Das Herzstück all dessen ist ein sicherer Softwarecode.

Entwickler stehen unter wachsendem Druck, Anwendungen und Dienste schneller als je zuvor zu erstellen, zu aktualisieren und bereitzustellen. Und das bedeutet, dass sie mehr Softwarecode entwickeln und damit arbeiten müssen, unabhängig davon, ob dieser von internen Entwicklern selbst geschrieben, von KI erstellt, aus Open-Source-Repositories entnommen oder von Dritten bereitgestellt wurde. 

Die Qualität und Sicherheit dieses Codes ist für die Gewährleistung eines effektiven Betriebs von größter Bedeutung, aber das ist ein Bereich, in dem Unternehmen allzu oft versagen. Und da das Codevolumen zunimmt, wird die Zahl der Fehler, Schwachstellen und Anfälligkeiten nur steigen, wenn sie nicht frühzeitig im Softwareentwicklungszyklus (SDLC) behoben werden.

Unternehmen müssen damit beginnen, sicheren Code zu erstellen und Fehler frühzeitig zu korrigieren. Agile Schulungen zu Best Practices für sichere Programmierung können die Grundlage für sichere, vertrauenswürdige Anwendungen bilden, die nicht nur das Risiko eines Unternehmens verringern, sondern auch zum Geschäftserfolg beitragen. 

TREND 1: KI-ENTWICKLUNGSWERKZEUGE

Innovation mit KI hängt von sicherem Code ab

Künstliche Intelligenz, insbesondere generative KI, ist in Handel, Bildung und Alltag schnell allgegenwärtig geworden. Unter den zahllosen Anwendungen generativer KI ist eine bemerkenswerte Funktion das Schreiben von Code. Dies hat sich im Allgemeinen als vorteilhaft erwiesen, wirft aber auch ein anderes Problem auf, das eng mit dem Einsatz von KI verbunden ist: die Sicherheit. Als frühe Anwender neuer Technologien müssen die Finanzinstitute ein Gleichgewicht zwischen Produktivitätssteigerungen und dem sicheren und verantwortungsvollen Einsatz von KI sicherstellen.

Bisher wurde KI vor allem zur Unterstützung der Code-Entwicklung eingesetzt und nicht etwa zur Automatisierung der Fehlerbehebung, und die Auswirkungen waren überwiegend positiv. In einer Umfrage von GitHub, die ergab, dass mehr als neun von zehn Entwicklern in den USA KI-Codierungstools verwenden, nannten die Befragten unter anderem Produktivitätssteigerungen (53 %), die Möglichkeit für Entwickler, sich auf kreative statt auf sich wiederholende Aufgaben zu konzentrieren (51 %) und die Vermeidung von Burnout (41 %) als Vorteile.

Große Banken und andere Finanzdienstleistungsunternehmen sind eher als andere Branchen in der Lage, KI frühzeitig einzusetzen. Schließlich sind Finanzinstitute im Grunde genommen Technologieunternehmen, denn sie haben das Geld, um in großem Umfang in neue Technologien zu investieren, und sind immer auf der Suche nach einem Wettbewerbsvorteil. 

Während einige befürchten, dass KI menschliche Arbeitskräfte verdrängen wird, funktioniert die Technologie tatsächlich am besten, wenn sie mit menschlichen Gegenspielern gepaart wird. Aber Entwickler brauchen mehr als nur ein Minimum an Checkboxen, um den Umgang mit der Technologie zu lernen. Sie benötigen ein präzises Training, um die besten Sicherheitspraktiken in realen Umgebungen wirklich zu verstehen, damit sie nicht nur selbst sicheren Code schreiben, sondern auch die Arbeit ihrer KI-Assistenten, die den Code schreiben, fachkundig überwachen können.

In einer Übung des SCW-Trainings wird ein LLM-Modell beispielsweise aufgefordert, den Inhalt eines echten Codeschnipsels zu ändern, um die Funktion des Codes zu modifizieren. Die KI reagiert, indem sie einen Code-Block erzeugt - aber dieser Block ist anfällig für Cross-Site-Scripting (XXS). Durch das Training wird sichergestellt, dass der Entwickler diese Schwachstelle erkennen kann.

KI und Entwickler können sehr produktiv zusammenarbeiten, aber nur, wenn die Entwickler gut genug geschult sind, um sicherzustellen, dass die KI sicheren Code erzeugt.

KI-Programmierfehler können sich schnell verbreiten 

Wenn ein KI-Modell für das Schreiben von Code trainiert wird, nimmt es Tausende von Beispielen für das Schreiben von Code auf, so wie ein anderes Modell Tausende von Beispielen für Prosa oder Gedichte aufnimmt, bevor es eine Geschichte oder ein Gedicht für einen Benutzer schreiben kann. Es gibt jedoch keine Garantie, dass das KI-Modell nicht auf ein Beispiel zurückgreift, das Fehler enthält. Da KI-Modelle ihre Prozesse nicht transparent machen, fallen Fehler erst im Nachhinein auf. Und die KI wird diese Fehler so lange wiederholen, bis sie korrigiert sind.

Eine frühe Studie von KI-Forschern hat ergeben, dass durch KI-generierten Code erhebliche Schwachstellen entstanden sind, darunter Cross-Site-Scripting (XSS)-Schwachstellen, Anfälligkeit für Code-Injection-Angriffe und neue Schwachstellen, die speziell für KI-generierten Code gelten, z. B. im Zusammenhang mit Prompt-Injection. Wenn KI-Tools unkontrolliert zum Schreiben von Code eingesetzt werden, könnte sich schlechter Code schnell verbreiten, was dazu führen würde, dass Software, die bereits viele Schwachstellen aufweist, noch unsicherer wäre als bisher.

Es ist zwingend erforderlich, dass menschliche Entwickler und KI-Modelle bei der Entwicklung von Code zusammenarbeiten und sicherstellen, dass die besten Praktiken für eine sichere Codierung befolgt werden. So können Finanzinstitute von den Vorteilen einer höheren Geschwindigkeit und Effizienz profitieren und gleichzeitig das Risiko begrenzen, das ohne menschliche Beteiligung möglicherweise katastrophale Folgen haben könnte. 

Finanzinstitute können bei der sicheren Entwicklung eine Vorreiterrolle spielen

Das rasche Wachstum der KI, insbesondere derjenigen, die große Sprachmodelle (LLMs) wie ChatGPT und die vielen anderen generativen KI-Implementierungen verwenden, die in der Lage sind, ihre eigenen Inhalte zu erstellen, hat auch seine Tücken. KI-Modelle haben zu Fehlern, verzerrten Ergebnissen und KI-Halluzinationen geführt, was zu einem verstärkten Ruf nach Regulierung geführt hat. Das Weiße Haus hat beispielsweise eine Durchführungsverordnung zur Entwicklung und Nutzung von KI erlassen. Es hat auch eine KI-Rechtsverordnung vorgeschlagen, die die Öffentlichkeit vor KI-bezogenen Risiken schützen soll. Jegliche Regierungsinitiativen werden jedoch von der Kooperation und Zusammenarbeit mit den Technologieunternehmen abhängen, die KI entwickeln und von denen sich viele zur Einhaltung ethischer Standards verpflichtet haben. 

Auch in der Finanzdienstleistungsbranche werden wahrscheinlich strenge interne Kontrollen eingeführt. Die Unternehmen sind zwar immer auf der Suche nach einem Wettbewerbsvorteil, aber sie wissen, dass die Sicherheit ihrer Informationen - sowohl der internen Daten als auch der Daten ihrer Kunden - von größter Bedeutung ist. Sie müssen auch sicher sein, dass sie die Anforderungen der Vorschriften erfüllen, z. B. die des Office of the Comptroller of the Currency (OCC) in den Vereinigten Staaten oder der Europäischen Zentralbank (EZB) für europäische Geschäfte. 

Als frühe Anwender von KI werden Banken und Finanzinstitute daran interessiert sein, herauszufinden, was KI zur Verbesserung der Effizienz beitragen kann, indem sie Innovationszentren und andere Maßnahmen zur Erforschung der KI-Fähigkeiten sponsern. Aber die Unternehmen brauchen auch Kontrollen, um die Sicherheit zu gewährleisten. Eine frühzeitige Einführung birgt immer ein gewisses Risiko, und wenn der Einsatz von KI zunimmt, müssen die Risiken und Vorteile abgewogen werden. Für Unternehmen wäre es zum Beispiel von Vorteil, in der Anfangsphase des Einsatzes von KI eine Stärken-Schwächen-Chancen-Bedrohungs-Analyse (SWOT) durchzuführen.

Effektiver Einsatz von KI beginnt mit sicherem Code

Die Fähigkeit der Finanzbranche, KI effektiv zu nutzen, wird von der Sicherheit abhängen, und diese hängt davon ab, dass der von KI erstellte Code von Anfang an sicher ist. Unternehmen müssen sicherstellen, dass sie über gut ausgebildete Ingenieure verfügen, die das Schreiben von KI-Code genau überwachen, Fehler erkennen und diese schnell korrigieren. Die Zusammenarbeit mit Unternehmen, die agile Schulungen und andere Dienstleistungen zur Gewährleistung von Sicherheit und Compliance anbieten, ist ein guter erster Schritt zur Förderung einer starken Sicherheitslage. 

Die Risikolandschaft verändert sich ständig, insbesondere im Rahmen des Softwareentwicklungszyklus. Und als frühe Anwender von KI müssen die Finanzinstitute eine Vorreiterrolle bei der sicheren und verantwortungsvollen Nutzung von KI übernehmen. Einige Finanzinstitute sind groß genug, um Einfluss auf die Regierungspolitik zu nehmen. Indem sie Schritte unternehmen, um sicheren Code zu gewährleisten, indem sie KI-Modellen und Entwicklern die Zusammenarbeit ermöglichen, können die Institute Best Practices etablieren, denen andere Branchen folgen können.

‍TREND2: VERSTÄRKTE REGULIERUNG

Der Kodex ist das Herzstück der Einhaltung von Vorschriften

Ein wichtiger Grund für die Einführung sicherer Kodierungsverfahren ist die Notwendigkeit für Finanzinstitute, die Einhaltung der für ihre Tätigkeit geltenden Vorschriften zu gewährleisten. Für die Institute gibt es eine Reihe von Vorschriften, die je nach Art der von ihnen abgewickelten Transaktionen variieren.

PCI DSS 4.0, die neueste Version des Payment Industry Data Security Standard, ist ein globaler Standard zum Schutz von Kredit- und Zahlungskartendaten und -transaktionen. Er soll Betrug und anderen Missbrauch verhindern und gilt für jede Organisation, die Karteninhaberdaten speichert, verarbeitet oder überträgt. Der Standard ist kein Gesetz, aber er wird durch Verträge durchgesetzt und kann dazu beitragen, Datenschutzverletzungen zu verhindern, die gegen andere Vorschriften wie die DSGVO verstoßen. 

Eine weitere Verordnung, der Digital Operational Resilience Act (DORA), ist ein verbindlicher EU-Rahmen für das Risikomanagement im Finanzdienstleistungssektor, der sowohl für Finanzinstitute als auch für deren Drittanbieter gilt. DORA legt technische Standards fest, um die Risikomanagementpraktiken in der EU zu vereinheitlichen und einen universellen Standard zu schaffen.

Die Society for Worldwide Interbank Financial Telecommunication, bekannt als Swift, ist eine Kooperation, die den Standard für Geldüberweisungen im globalen Finanzsektor gesetzt hat. Das Customer Security Program (CSP) von Swift hat das Customer Security Controls Framework (CSCF) entwickelt, das jährlich aktualisiert wird. Die über 11.000 Mitglieder von Swift in mehr als 200 Ländern nutzen das CSCF, um ihre eigenen Sicherheitskontrollen zu planen und deren Einhaltung zu bestätigen.

Diesen Vorschriften ist gemeinsam, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche zu setzen. Die Einhaltung der Vorschriften schützt nicht nur Kundendaten und -gelder, sondern hilft auch, die Institute vor den Folgen unzureichender Sicherheit zu bewahren, zu denen Geldbußen und Strafen für die Nichteinhaltung von Vorschriften, ein beschädigter Ruf und der Verlust des Vertrauens von Anlegern im Falle eines Verstoßes gehören können.

Entwickler müssen mit einer sich verändernden Regulierungslandschaft Schritt halten

Sichere Kodierung ist ein solider Grundstein für Organisationen, die die Erwartungen der geltenden Vorschriften und die Anforderungen des Office of the Comptroller of the Currency (OCC) in den Vereinigten Staaten oder der Europäischen Zentralbank (EZB) in Europa erfüllen wollen. Einer der wichtigsten Gründe für die Einführung der Plattform von Secure Code Warrioroder eines anderen Anbieters ist die Vermittlung von sicherem Coding in einer praktischen, ansprechenden Umgebung. 

Diese Art von Schulung macht einen Unterschied im Umgang mit den manchmal komplexen rechtlichen Anforderungen, insbesondere weil diese nicht statisch bleiben. Die Vorschriften entwickeln sich ständig weiter und bringen neue, oft anspruchsvollere Anforderungen mit sich. Je nach Anforderung ändert sich eine Vorschrift in einem bestimmten Jahr vielleicht nicht dramatisch, aber Unternehmen müssen mindestens alle paar Jahre mit erheblichen Änderungen rechnen. 

So aktualisiert PCI DSS 4.0, der ab dem 1. April 2024 verbindlich ist, PCI DSS 3.2.1 (veröffentlicht 2022) in mehreren wichtigen Punkten. Es wird ein angepasster Ansatz eingeführt, der Organisationen mehr Flexibilität bei der Erfüllung der Anforderungen bietet und sich mehr auf die Ergebnisse als auf Checkbox-Verfahren konzentriert. Außerdem werden neue Anforderungen an Authentifizierungskontrollen, Passwortlängen und gemeinsam genutzte Konten eingeführt, um nur einige der vielen Aktualisierungen zu nennen. Außerdem müssen die Unternehmen die Rollen und Verantwortlichkeiten für die Erfüllung der einzelnen Anforderungen klar definieren.

In Version 4.0 wird außerdem gefordert, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate in Fragen der Softwaresicherheit geschult werden, einschließlich sicherer Design- und Kodierungstechniken und, falls Testtools verwendet werden, in der Verwendung dieser Tools zur Aufdeckung von Schwachstellen. Außerdem ist vorgeschrieben, dass jede bei Penetrationstests festgestellte Schwachstelle unabhängig von ihrem Schweregrad behoben wird und dass die Teams einen zweiten Penetrationstest durchführen, um die erfolgreiche Behebung zu bestätigen.

Obwohl Änderungen in der Regel schrittweise vorgenommen werden, sind die Vorschriften auch ereignisabhängig - ein größerer Verstoß kann plötzliche, umfassende Änderungen nach sich ziehen. Die Verletzung von 87 Millionen Konten bei JPMorgan Chase Mitte der 1990er Jahre erschütterte beispielsweise die Regulierungslandschaft. Die Regulierungsbehörden schraubten die Erwartungen an die Entwickler/Technologen hoch und verlangten von den Banken den Nachweis, welche Schritte sie unternommen und wie sie die aus der Verletzung gezogenen Lehren umgesetzt haben. 

Die Einhaltung der Vorschriften hängt von der Qualität des zugrunde liegenden Codes ab

Die Qualität des Codes, der zur Erfüllung dieser Anforderungen verwendet wird, hat einen erheblichen Einfluss darauf, wie gut neue Funktionen funktionieren, und kann ins Spiel kommen, wenn Unternehmen den langwierigen und detaillierten PCI DSS Compliance Report ausfüllen, der jährlich verlangt wird. Je komplexer die Vorschriften werden, desto größer sind die Auswirkungen einer sicheren Kodierung, die einen erheblichen Unterschied bei der Verringerung von Risiken und der Verbesserung der Kontrolle über die Software eines Unternehmens ausmacht.

Die Einhaltung von Vorschriften ist für Finanzinstitute von entscheidender Bedeutung, da es wichtig ist, Vertrauen bei den Kunden aufzubauen. Sichere Kodierung kann auch dazu beitragen, das Kundenerlebnis zu verbessern, da so viel von der nahtlosen Interaktion mit zuverlässiger Software abhängt, was die Kundenbindung fördert.

Die Codierung, die für die Entwicklung neuer Anwendungen und Dienste erforderlich ist, hat Auswirkungen auf das gesamte Unternehmen. Sie ist unerlässlich, um die Effizienz zu steigern, Cloud-Migrationen zu verwalten und andere Funktionen in einer sich schnell verändernden Geschäftsumgebung zu ermöglichen. Aber der Code muss unbedingt sicher sein und die Compliance-Anforderungen erfüllen, damit das Unternehmen erfolgreich ist. 

TREND 3: AGILES LERNEN

Agiles Training und Mensch-KI-Teams sorgen für sicheren Code

Die Verbreitung von KI-Modellen hat die Befürchtung wiederbelebt, dass künstliche Intelligenz den Menschen viele Arbeitsplätze wegnehmen wird. Während Menschen in einigen Berufen Grund zur Sorge haben - von der Buchhaltung und dem Kundendienst bis hin zu Rechtsanwälten und Autoren von Inhalten -, begrüßen Softwareentwickler KI eher als hilfreiche Assistenten, die ihnen zwar nicht die Arbeit abnehmen, aber einige zeitaufwändige oder sich wiederholende Aufgaben, wie das Schreiben von Code, abnehmen werden.

Das Schreiben von Code ist in der Tat nur ein Teil der Arbeit eines Entwicklers. Im globalen DevSecOps-Bericht 2023 von GitLab gaben die meisten Entwickler an, dass sie etwa ein Viertel ihrer Zeit mit dem Schreiben von Code verbringen. Der Rest verteilt sich auf andere Aufgaben, wie die Verbesserung des Codes (17 %), das Testen (11 %) und die Teilnahme an Meetings oder andere administrative Aufgaben (ebenfalls 17 %).

Die Verbesserung des Codes ist ein Aspekt der Arbeit, der wahrscheinlich stärker in den Vordergrund treten wird, wenn KI-Modelle Code erzeugen. KI macht die Erstellung von Code schneller und effizienter, aber man kann diesem Code nicht ganz trauen. Es gibt unzählige Beispiele für Fehler, Verzerrungen und anfälligen Code, der von KI-Modellen erzeugt wird. Sicherheitskompetente Entwickler müssen eng in die Überprüfung von KI-generiertem Code eingebunden sein, um Schwachstellen zu beheben und sicherzustellen, dass ihre Software den Entwicklungsstandards entspricht.

Entwickler brauchen eine praxisnahe, agile Ausbildung

Für die Entwickler selbst erfordert die Arbeit mit KI-generiertem Code, dass sie ihre vorhandenen Fähigkeiten in Bezug auf bewährte Sicherheitsverfahren und die Fähigkeit, schlechte Codierungsmuster zu erkennen, schärfen und einige neue erwerben. Richtig geschulte Entwickler sind in der Lage, die Fehltritte eines KI-Modells vor der Bereitstellung zu erkennen und die Vorteile der KI zur Beschleunigung der Entwicklung zu nutzen.

Die erforderlichen Fähigkeiten sind jedoch komplex und können nicht einfach durch statische Standardschulungsmethoden erlernt oder gestärkt werden. Entwickler sind nicht dafür bekannt, dass sie bei ihrer Arbeit viel Zeit haben - sie stehen mehr denn je unter dem Druck, Code schnell zu entwickeln und bereitzustellen. Sie müssen in der Lage sein, ihre Fähigkeiten auf eine Art und Weise zu erweitern, die zu ihrer Arbeit passt, die sie bereits ausüben.

Unternehmen müssen Entwicklern ein komplettes Programm für agile Schulungen anbieten, das einen praxisnahen Ansatz zur sicheren Programmierung verfolgt und die Anzahl der Schwachstellen in Software nachweislich deutlich reduziert.

Agile Schulungen können auf die Programmiersprachen zugeschnitten werden, mit denen Entwickler zu tun haben, von altem, aber immer noch verwendetem COBOL bis hin zu fortschrittlichen neuen Tools, die in Google Go geschrieben sind. Es kann so gestaltet werden, dass fortgeschrittene Inhalte in Formaten vermittelt werden, die den bevorzugten Lernmethoden der Entwickler entsprechen - z. B. visuell, auditiv oder mündlich sowie direkt praktisch - und in einem Tempo, das am besten zu den einzelnen Entwicklern und ihren Arbeitsplänen passt. 

Die Schulungen können auch auf die spezifischen Aufgaben und Bedürfnisse der Mitarbeiter zugeschnitten werden. Eine Plattform kann eine Feedbackschleife nutzen, um die Inhalte zu verbessern und zu erkennen, wenn ein Entwickler in einem bestimmten Bereich Schwächen hat, so dass die Inhalte automatisch auf diesen Bereich ausgerichtet werden können. 

Und anstatt Sicherheitsschulungen in langwierigen und trockenen Kursen im Klassenzimmerstil durchzuführen, bieten Lernprogramme wie die von Secure Code Warrior eine optimale, maßgeschneiderte Schulung, indem sie in interaktive Mikroblöcke unterteilt werden, die Entwickler in den Kontext realer Probleme einbinden. Microlearning ist außerdem für die Mitarbeiter jederzeit zugänglich, wenn sie es brauchen. 

Ein agiler Ansatz bringt Ergebnisse

Agile Schulungen haben sich bei der Reduzierung von Programmierfehlern als wirksam erwiesen. Nach Untersuchungen von Secure Code Warrior überarbeiten Entwickler bereits etwa 26 % ihres Codes, bevor er in Produktion geht. Das sind etwa 13,5 Stunden pro Woche und Entwickler (ca. 700 Stunden pro Jahr), die für die Beseitigung technischer Fehler aufgewendet werden. Die Stunden, die mit der Korrektur von Code verbracht werden, behindern die Produktivität und verlangsamen die Entwicklungszyklen.

Und nicht alle diese Fehler werden erkannt: 67 % der Entwickler geben zu, dass sie Code mit Sicherheitslücken ausgeliefert haben. Unternehmen nutzen auch Code aus anderen Quellen, wie KI, Open-Source-Repositories und Drittanbietern. Diese Quellen erhöhen die Produktivität in einer Zeit, in der Unternehmen mehr Code als je zuvor benötigen, aber sie erhöhen auch das Risiko von Schwachstellen und Fehlern in der Codebasis. 

Agile Schulungen können helfen, diesen Trend aufzuhalten. Es stärkt die erste Verteidigungslinie, da Entwickler besser in der Lage sind, Schwachstellen im Code zu erkennen, unabhängig davon, ob dieser von ihnen selbst, von KI oder von Dritten erstellt wurde. Im Rahmen der Studie untersuchte Secure Code Warrior die Daten von 75.000 Entwicklern (etwa 30 % der Basis) und stellte fest, dass Entwickler, die sich mit Hilfe des agilen Trainings mit dem Thema Sicherheit befasst hatten, 53 % weniger Schwachstellen aufwiesen als ihre Kollegen. Entwickler, die diese Fähigkeiten bei der Überprüfung von KI-generiertem Code anwenden, können die Fehler ihrer KI-Partner schneller bereinigen, bevor die Software in Produktion geht.

Mit dem agilen Training von Secure Code Warriorbekamen die Entwickler von Workday, einem Anbieter von Cloud-Anwendungen für das Finanz-, Personal- und Studenten-/Fakultätsmanagement, eine klare Vorstellung davon, was mit dem Training erreicht werden sollte, und lernten schnell, wie sie Probleme innerhalb ihrer Codebasis und ihres Software-Lebenszyklus erkennen und beheben können.

Die Erfahrungen von Workday sind ein deutliches Beispiel dafür, was agile, praxisnahe Schulungen bewirken können. Vor der Zusammenarbeit mit Secure Code Warrior stellte Workday fest, dass seine Entwickler von den auf Diashows basierenden Sicherheitsschulungen des Unternehmens enttäuscht waren. Doch die gesamte Entwicklergemeinschaft reagierte positiv auf die Secure Code Warrior Schulung, die sowohl auf ihre Bedürfnisse als auch auf ihre Lernvorlieben zugeschnitten war. Und die Ergebnisse sprechen für sich. Nur ein Beispiel: Ein Team in Dublin hatte in nur 18 Monaten statt 4.662 Sicherheitsproblemen pro Jahr gar keine mehr zu verzeichnen.

In einer Bedrohungslandschaft, die von immer raffinierteren Angriffen geprägt ist, müssen Finanzdienstleister alles tun, um die Sicherheit ihrer Daten und Anwendungen zu gewährleisten. Die Erstellung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC) ist eine entscheidende Komponente der Sicherheit. Entwickler mit der richtigen Art von agilem Training können viel dazu beitragen, die Sicherheit von Software zu gewährleisten und gleichzeitig die Gesamtrisiken für ihr Unternehmen zu verringern.

TREND 4: WACHSTUM VON DRITTANBIETER APPS UND APIs

Die Verantwortung für die Sicherheit gilt auch für Anwendungen von Drittanbietern

In der heutigen hypervernetzten Geschäftswelt arbeitet kein Unternehmen mehr in einem Vakuum. Finanzinstitute gehen Partnerschaften mit anderen Unternehmen ein, um bestimmte Dienstleistungen zu erbringen, nutzen Apps von Drittanbietern für die tägliche Kommunikation und Transaktionen und lassen in vielen Fällen Softwarecode von externen Auftragnehmern schreiben. Entwickler innerhalb von Unternehmen nutzen auch Open-Source-Software-Repositories und zunehmend auch KI-generierten Code für die Entwicklung von Anwendungen.

Unabhängig von der Quelle der Software erwarten die Kunden eines Finanzdienstleistungsunternehmens, dass jede von ihnen genutzte Anwendung das gleiche hohe Sicherheitsniveau aufweist. Bei jeder Transaktion und jedem Informationsaustausch trägt das Host-Unternehmen die Verantwortung für die Daten des Kunden. Und die Aufsichtsbehörden werden es nicht zulassen, dass ein Institut die Verantwortung für die Nichteinhaltung der Vorschriften auf einen Dritten abwälzt. 

Wie kann ein Finanzinstitut sicherstellen, dass jede Anwendung sicher und zuverlässig ist? Es beginnt mit sicherem Code und damit, dass man den Entwicklern zu Beginn des Entwicklungsprozesses die Fähigkeiten vermittelt, die sie benötigen, um sicheren Softwarecode zu erstellen.

Bereitstellung von Schulungen für Auftragnehmerteams

Unternehmen würden von der Einführung eines agilen, praxisnahen Schulungsprogramms profitieren, in dem Entwickler in sicherem Code geschult werden. Die Ergebnisse einer solchen Schulung sind eindeutig: Entwickler mit einer Schulung in sicherem Code produzieren Code mit 53 % weniger Schwachstellen als diejenigen, die nicht geschult sind. Und sie werden auch mehr Programmierfehler in dem von Dritten erstellten Code entdecken. 

Selbst wenn die eigenen Entwickler eines Unternehmens im Schreiben von sicherem Code geschult sind, müssen die potenziellen Schwachstellen im Code Dritter behoben werden. Viele Entwicklerteams bestehen sowohl aus Vollzeitbeschäftigten als auch aus Auftragnehmern, insbesondere in großen Einrichtungen mit weit verstreuten Standorten im ganzen Land oder auf der ganzen Welt, einschließlich primärer, sekundärer und tertiärer Standorte. 

Vor ein paar Jahrzehnten gab es in der Branche einen großen Druck, die Softwareentwicklung auszulagern, damit die Unternehmen mit der Nachfrage nach neuen Anwendungen Schritt halten konnten. Dieser Trend hielt fünf oder zehn Jahre an, bevor er sich wieder umkehrte, aber kombinierte Teams aus Vollzeitbeschäftigten und Auftragnehmern gibt es immer noch an einigen Standorten in Finanzinstituten. Da ständig so viele Anwendungen entwickelt werden, werden einige von ihnen ausgelagert werden. 

Unabhängig davon, ob der Code von Vollzeitbeschäftigten oder von Dritten entwickelt wird, bleiben die Erwartungen von Kunden und Aufsichtsbehörden bestehen. Der gesamte Softwarecode, den ein Unternehmen verwendet, muss denselben Standards entsprechen, was bedeutet, dass alle Entwickler das gleiche Kompetenzniveau haben. 

Unternehmen haben möglicherweise vertragliche Beschränkungen, wenn es darum geht, Schulungen für Auftragnehmer zu verlangen, aber es ist wichtig, zumindest Schulungen anzubieten. Einige Finanzunternehmen haben ihre eigenen Schulungsprogramme ins Leben gerufen, wie z. B. Capital One, das 2016 sein Tech College startete. Eine Reihe anderer Banken und Finanzunternehmen, wie Synchrony Bank und North American Bancard, setzen auf agiles , kontinuierliches Lernen, um das Niveau ihrer Talente zu erhöhen.

Es ist sogar möglich, dass Unternehmen einen "Lizenz zum Code"-Ansatz verfolgen und bestimmte Zertifizierungen verlangen, bevor sie Entwicklern Zugang zu bestimmten Systemen gewähren. 

Angesichts des anhaltenden IT-Fachkräftemangels haben sich die Unternehmen dafür entschieden, ihre derzeitigen Mitarbeiter weiterzubilden, anstatt auf einem unterversorgten Markt um Talente zu konkurrieren. Das Angebot von Schulungen kommt sowohl den Mitarbeitern zugute, die ihre eigene Karriere vorantreiben können, als auch dem Unternehmen, das Mitarbeiter mit den vom Unternehmen benötigten Fähigkeiten erhält. Schulungsprogramme können auch die Mitarbeiterbindung erhöhen, indem sie die Erfahrungen der Mitarbeiter verbessern. 

Kontinuierliches Lernen ist im aktuellen Umfeld wichtig. Die Cybersicherheitslandschaft entwickelt sich ständig weiter und wird immer anspruchsvoller. Und auch die Anforderungen der Aufsichtsbehörden ändern sich jährlich, was die Einhaltung der Vorschriften noch komplexer macht. Die Nichteinhaltung dieser Anforderungen kann zu Geldstrafen, anderen Kosten und Rufschädigung führen, die das Unternehmen erheblich beeinträchtigen. 

Der Schlüssel ist die Einbeziehung von Entwicklern

Unternehmen bewegen sich weg von Compliance-Schulungen als lästige Abhak-Übung mit einmal im Jahr stattfindenden Schulungen hin zu ganzjährigen Schulungen, die das Engagement von Entwicklern und anderen Mitarbeitern für die Sicherheit erhöhen sollen. Der Schlüssel liegt in einer flexiblen Plattform, die den Mitarbeitern die Schulungen bietet, die sie brauchen, wenn sie sie brauchen, und in einem Format, das zu ihrer Arbeitsumgebung passt.

Das britische Softwareunternehmen Sage, das die Plattform Secure Code Warriorübernommen hat, führt beispielsweise vierteljährlich Schulungen durch, die auf die Technologie ausgerichtet sind, mit der die Entwickler zu diesem Zeitpunkt arbeiten. 

Die Schulungen sind so weit wie möglich personalisiert und auch auf die Arbeitsweise der Entwickler zugeschnitten, sagte Mads Howard, Sicherheitsspezialist bei Sage, kürzlich in einem Webinar mit SCW. Sage fördert auch die Kommunikation in beide Richtungen durch eine Feedbackschleife. Das Training konzentriert sich mehr auf das Engagement als auf die Einhaltung von Kontrollkästchen, mit regelmäßig geplanten tournaments und Bemühungen, das Trainingsprogramm mit anderen Unternehmensinitiativen zu verbinden, um das Engagement der Mitarbeiter für Sicherheitsfragen zu erhöhen.

Ein Ergebnis: Im vergangenen Jahr konnte Sage die durchschnittliche Zeit, die zur Behebung von Softwareproblemen benötigt wird, um 82 % reduzieren, so Howard. Das Unternehmen hat auch ein höheres Engagement der Mitarbeiter festgestellt.

Kodierung ist Teil des Aufbaus einer Sicherheitskultur, so Howard, wobei das Ziel letztlich darin besteht, Vertrauen bei den Kunden aufzubauen. Eine Sicherheitskultur dreht sich um die Einstellungen, Wahrnehmungen und Überzeugungen der Menschen, und sie bezieht Menschen im gesamten Unternehmen ein, einschließlich der Führungskräfte. Ein flexibles Schulungsprogramm für sicheren Code, das gezielte Schulungen in leicht zu konsumierenden Mikroeinheiten bietet, kann ein wesentlicher Bestandteil dieser Kultur sein.

‍TREND5: STÄRKERE KONZENTRATION AUF DIE RENTABILITÄT BEI ALLEN TEAMS/ANBIETERN

Wie sich sichere Kodierung direkt auf die Kapitalrendite auswirkt

Die Finanzdienstleistungsbranche umfasst ein breites Spektrum von Sektoren, das vom Bankwesen und der Finanzverwaltung bis zu Kreditkarten und digitalen Zahlungsdiensten reicht. Sogar Versicherungen fallen oft unter diesen Begriff. Für Unternehmen in jedem Sektor gelten unterschiedliche, wenn auch oft überlappende Compliance-Anforderungen, je nachdem, welche Transaktionen sie abwickeln und ob es sich um inländische oder multinationale Unternehmen handelt. 

Doch unabhängig von der Branche, in der die Unternehmen tätig sind, wirken sich wirtschaftliche Überlegungen auf die Unternehmensstrategien aus. Die Aktienmärkte haben sich gut entwickelt, aber die Aktienmärkte sind nicht immer ein Indikator für zukünftigen Erfolg. In der Zwischenzeit herrscht im Finanzsektor ein gewisses Unbehagen über die Möglichkeit einer Rezession und andere kritische Herausforderungen. 

Infolgedessen schnallen viele Unternehmen den Gürtel enger, suchen nach mehr Effizienz und betonen, wie wichtig es ist, für jede neue Ausgabe eine gute Rendite (ROI) zu erzielen. Eine Möglichkeit, den ROI zu erhöhen, ist die Investition in sicheres Code-Lernen. Im Lebenszyklus der Softwareentwicklung (SDLC), wo Technik und Sicherheit aufeinander treffen, bringt es klare, quantifizierbare Vorteile für das Unternehmen, wenn zu Beginn des Prozesses für sicheren Code gesorgt wird und Fehler so früh wie möglich behoben werden. 

Die hohen Kosten von unsicherer Software

Daten sind das Herzstück eines jeden Finanzdienstleisters, und die Kosten für die Handhabung dieser Daten mit unsicherer, ineffizienter Software können schnell steigen. Secure Code WarriorDie Studie der Universität von Kalifornien hat ergeben, dass Software-Qualitätsprobleme US-Unternehmen im Jahr 2022 insgesamt 2,41 Billionen US-Dollar kosten werden. Und die Kosten erstrecken sich bis hin zu den Entwicklern, die immer mehr Zeit mit der Pflege und Behebung technischer Mängel verbringen. Derzeit verbringen Entwickler etwa ein Drittel ihrer Zeit mit der Pflege technischer Schulden, doch bis 2025 werden es voraussichtlich 40 % sein. 

Agile-basierte Schulungen zu sicheren Kodierungspraktiken können diesen negativen Zahlen einen deutlichen Riegel vorschieben. Es wurde festgestellt, dass Entwickler, die mit Secure Code Warrior geschult wurden, 53 % weniger Schwachstellen einbringen als Kollegen, die nicht geschult wurden, und dass die Behebungszeiten um die Hälfte reduziert werden. Eine große, weltweit tätige Bank konnte mit SCW-Schulungen die Zahl der Schwachstellen um 50 % senken, wodurch SQL-Injection-Fehler und Cross-Site Scripting (XSS) praktisch eliminiert wurden.

Die Vorteile von agilem Secure-Code-Training sind auch umso größer, je weiter ein Unternehmen nach links rückt. Die Kosten für technische Schulden werden beispielsweise um die Hälfte reduziert, wenn sie während der Testphase angegangen werden, aber sie werden um das 14-fache reduziert, wenn sie während der Kodierungsphase angegangen werden. 

Ein typisches Beispiel: Wie Envestnet seine Entwickler einbezog 

Die Auswirkungen der sicheren Kodierung können zu messbaren ROI-Gewinnen führen. In einem Beispiel wollte das große Finanztechnologieunternehmen Envestnet über seine passive, "Tod durch PowerPoint" Sicherheits- und Compliance-Schulung hinausgehen, die sich hauptsächlich auf die zehn größten Webanwendungsrisiken des Open Worldwide Application Security Project (OWASP) konzentrierte. 

Envestnet verfolgte eine Shift-Links-Strategie, die sich auf das Schreiben von sicherem Code und die frühzeitige Behebung von Problemen im SDLC konzentrierte, musste aber zunächst die mangelnde Beteiligung der Entwickler an den bestehenden Sicherheitsschulungen des Unternehmens beheben. Mit SCW wurde ein vierstufiges, praxisorientiertes Programm implementiert, das Schulungen zu realen Szenarien umfasste und den Entwicklern für jede erreichte Stufe Zertifikate verlieh - was nicht nur die Anwendungssicherheit verbesserte, sondern auch den Entwicklern half, ihre Karriere voranzutreiben.

Die ersten beiden Stufen konzentrierten sich auf das Sicherheitsbewusstsein, und die Stufen drei und vier zeichneten Sicherheitsbeauftragte aus. Das Schulungsprogramm umfasste tournaments, was auch das Engagement der Entwickler steigerte. Zwischen den ersten beiden tournaments, die im Abstand von etwa sechs Monaten stattfanden, verdoppelte sich die Beteiligung. 

Die Ergebnisse: Entwickler mit SCW-Schulung behoben 2,7 Mal mehr Schwachstellen als ihre Kollegen und steigerten ihre Behebungsrate um 120 %. SCW-geschulte Entwickler schlossen außerdem 4,5 Schwachstellen pro Entwickler, verglichen mit einer Rate von 1,82 pro Entwickler bei ihren Kollegen, die nicht von der Schulung profitierten. 

Ein Start auf der linken Seite verbessert das Endergebnis

Agile Secure Coding-Programme können für jedes Unternehmen maßgeschneidert werden, je nach Art der angebotenen Finanzdienstleistungen, dem Umfang der Systeme und den individuellen Anforderungen des Unternehmens.

Unternehmen müssen zum Beispiel den Payment Card Industry Data Security Standard (PCI DSS), den OWASP Application Security Verification Standard (ASVS) oder andere Anforderungen einhalten. Und sie müssen sicherstellen, dass sie stets sicheren Code schreiben. Aber sie brauchen mehr als ein Schulungsprogramm, das lediglich ein Kästchen abhakt, das nicht ausreicht, um sichere Codierungsmethoden zu lehren oder die höhere Effizienz zu erreichen, die mit gut ausgebildeten, sicherheitsbewussten Entwicklern einhergeht.

Praktische Schulungen, die eine Strategie zur Einführung von sicherem Code zu einem frühen Zeitpunkt im SDLC und zur Aufrechterhaltung des sicheren Codes während des gesamten Produktlebenszyklus unterstützen, verringern das Risiko und verkürzen die Zeit bis zur Markteinführung, was unweigerlich den ROI erhöht. Da Systeme, Prozesse und sogar Cyberangriffe immer ausgeklügelter werden, ist sichere Codierung dringend erforderlich. Sie kann nicht nur die Sicherheit entscheidend verbessern, sondern auch den Gewinn eines jeden Unternehmens steigern. 

SCHLUSSFOLGERUNG

Sichere Kodierung erhöht die Sicherheit und Produktivität und schafft Vertrauen

Finanzdienstleister arbeiten mit sehr wertvollen Gütern, nämlich dem Geld der Menschen und hochsensiblen persönlichen Informationen, aber in gewisser Weise ist das Wertvollste, was Unternehmen haben können, Vertrauen. Es ist unerlässlich, um treue Kunden zu gewinnen und zu halten. Und da so viele Finanztransaktionen digital abgewickelt werden, hängen diese Zuverlässigkeit und die Sicherheit der Software von sicherem Softwarecode ab.

In komplexen, hybriden Cloud-Umgebungen müssen Finanzunternehmen einen Linksruck machen und die Sicherheit bereits zu Beginn des Softwareentwicklungszyklus (SDLC) einführen. Das bedeutet, dass Entwickler darin geschult werden müssen, sicheren Code zu schreiben und in der Lage zu sein, Schwachstellen in KI-generiertem Code oder Code von Drittanbietern zu erkennen.

Für viele Unternehmen ist dies ein kultureller Wandel, denn die Entwickler sind es gewohnt, im Eiltempo zu arbeiten und neue Anwendungen und Dienste zu entwickeln, um die ständig steigende Nachfrage zu befriedigen. Der Schlüssel dazu ist die Schaffung einer Sicherheitskultur im Unternehmen und die Einbeziehung von Entwicklern in ein agiles, praxisorientiertes Training für sicheren Code. Die Vorteile dieses Ansatzes liegen auf der Hand.

Förderung eines kulturellen Wandels, von dem alle profitieren

Secure Code WarriorDie Forschungsergebnisse zeigen, dass Entwickler, die mit SCW sichere Programmierpraktiken erlernen, 53 % weniger Schwachstellen aufweisen als diejenigen, die nicht geschult wurden, was eine große Zeit- und Geldersparnis bedeutet.

Entwickler verschwenden derzeit etwa ein Drittel ihrer Zeit mit der Überarbeitung von Softwarecode, wobei 67 % von ihnen zugeben, dass sie Code ausliefern, von dem sie wissen, dass er Schwachstellen aufweist. SCW-Kunden haben durch agiles Lernen eine zwei- bis dreifache Steigerung der Risikominderung und der Entwicklerproduktivität festgestellt.

Und je weiter links ein Unternehmen im SDLC beginnt, desto größer sind die Einsparungen. Die Kosten können um die Hälfte gesenkt werden, wenn sie während der Testphase angegangen werden, aber sie können um das 14-fache gesenkt werden, wenn sie während der Kodierungsphase angegangen werden.

Von einer agilen Schulungsplattform profitieren sowohl das Unternehmen als auch die Entwickler. Die Entwickler können ihre Karriere vorantreiben, indem sie neue Fähigkeiten erwerben, und das Unternehmen profitiert, weil qualifizierte Entwickler eher bei einer Firma bleiben, die effektive Schulungen und eine lohnende Arbeitserfahrung bietet.

Nicht zufällig sagen 92 % der Entwickler, dass sie mehr Schulungen wünschen. Aber es muss die richtige Art von Schulung sein. Herkömmliche Compliance-Schulungen nach Lehrbuch (oder nach Diashow) können Augenrollen und eine zähneknirschende Akzeptanz der Erfüllung einer Anforderung hervorrufen, aber eine agile Plattform wie die von SCW ist nachweislich für Entwickler interessant. Die Schulungen können auf die jeweilige Arbeit und die Programmiersprachen, mit denen sie arbeiten, abgestimmt werden. Und die Bereitstellung von Schulungen in leicht zu konsumierenden, gezielten Mikroblöcken, die sich mit aktuellen, realen Problemen der Entwickler befassen, erhöht den Wert der Schulungen und das Engagement.

Die Schulung zu sicherem Code kann ein wichtiger Baustein für einen Kulturwandel hin zu einer sicherheitsorientierten Organisation sein, die die Cybersicherheit, die Leistung und letztlich die Rentabilität eines Finanzdienstleisters erhöht.

Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge