Warum Gamification der Schlüssel zur Verbesserung der Softwaresicherheit ist

In meiner eigenen Karriere in der Softwareentwicklung und im Sicherheitsbereich habe ich mit vielen AppSec-Managern, Chief Information Security Officers, Chief Information Officers und Cybersicherheitsexperten gesprochen, die in verschiedenen Unternehmen auf der ganzen Welt tätig sind.

In dieser sich ständig verändernden digitalen Welt bleibt eine Frage immer dieselbe, unabhängig davon, wie unterschiedlich ihre Situation ist, wie viel Erfahrung das Team hat oder wie viel Zeit vergangen ist: Sie können sich selten aktiv an der Entwicklung des Teams in Sicherheitsfragen beteiligen. Sicherheit ist nach wie vor ein Tabuthema, eine Quelle von Konflikten zwischen Teams und ein regelrechtes Ärgernis für die Branche.

Die Softwaresicherheit ist jedoch für unsere allgemeine Denkweise zu wichtig, als dass wir diesen Weg weitergehen könnten. Wir müssen uns bemühen, die Art und Weise, wie wir miteinander kommunizieren, zu ändern, damit Sicherheit zu einem unverzichtbaren Bestandteil der Arbeit jedes Entwicklers wird. Meiner Meinung nach ist eine der besten Möglichkeiten, dies zu erreichen, die Entwickler durch Gamification und andere Maßnahmen in Sicherheitsfragen zu befähigen und mit ihnen zu interagieren.

die derzeitige Situation

Entwickler verlassen die Universität mit kaum praktischen Kenntnissen über die Bereitstellung sicherer Codes, und an ihren Arbeitsplätzen wird Sicherheitsschulungen selten Priorität eingeräumt (wenn überhaupt, dann sind sie Teil obligatorischer Compliance-Videos zu Gesundheit und Sicherheit, die so langweilig sind, dass sich niemand für sicheres Codieren interessiert).In der Regel machen sie ihre ersten Erfahrungen mit Sicherheit, wenn sie Fehlerberichte prüfen oder testen, die plötzlich eine zukünftige Veröffentlichung unterbrechen und sofort zum Schwerpunkt ihres kreativen Denkens werden. Sie geraten in Streit mit den für Sicherheitsberichte zuständigen Mitarbeitern, sodass „Sicherheit“ in ihren Augen zum Synonym für „Kritik“ wird. Hahaha.

Ehrlich gesagt finde ich es sehr schade, dass diese negative Sichtweise auf Softwaresicherheit so weit verbreitet ist. Schließlich sind die schönsten Erinnerungen meiner beruflichen Laufbahn mit dem Erlernen von Softwaresicherheit verbunden. In meiner frühen Hackerzeit nahm ich an Konferenzen teil, auf denen ich nicht nur meine Fähigkeiten mit Kollegen testen (und, um ehrlich zu sein, ein wenig angeben) konnte, sondern auch Gleichgesinnte traf, die genauso viel Spaß daran hatten wie ich, Software zu zerstören.

BruCon, DefCon, BlackHat... Diese Veranstaltungen bieten Menschen wie mir die Möglichkeit, unsere Fähigkeiten in Freundschaftsspielen unter Beweis zu stellen. Obwohl ich nie zugegeben habe, an solchen antisozialen Aktivitäten teilgenommen zu haben, gibt es einige, die sogar die Handys anderer Teilnehmer hacken und deren Informationen auf dem Präsentationsbildschirm für alle sichtbar anzeigen, um ihre Hackerfähigkeiten zu demonstrieren. Es ist zu einem Spiel geworden, bei dem diese Schwachstellen entdeckt, ausgenutzt und behoben werden, um die Software zu verbessern.Vor einigen Jahren hatte ich das Glück, Hunderten von Kindern aus dem Nahen Osten persönlich zu begegnen und ihnen Kenntnisse über Cybersicherheit zu vermitteln. Ich erinnere mich noch gut an eine achtjährige Schülerin, die beim Spielen etwas über Passwort-Brute-Force-Angriffe und Base64-Kodierung lernte.

Gamification wird auch zum Unterrichten von Programmierkenntnissen eingesetzt. Bildungseinrichtungen auf der ganzen Welt nutzen diese Methode, um kleinen Kindern bis hin zu Schülern der Oberstufe das Programmieren beizubringen. Heute nehmen bereits Vierjährige regelmäßig an Festivals wie dem CodeCampteil, und es gibtviele großartige Online-Programme, die Kindern das Programmieren mit Python und anderen Sprachen beibringen. Ich habe sogar das fantastische bildschirmlose Programmierwerkzeug Cubetto für meine vierjährigeTochter gekauft.

Aber trotz all dieser Vorteile und Fortschritte gibt es immer noch Lücken. Niemand hat daran gedacht, Gamification zu nutzen, um Entwicklern beizubringen, wie man sicheren Code schreibt.

Okay... fast niemand. Vor einigen Jahren wurde mir klar, dass wir erneut für Begeisterung für Sicherheit sorgen mussten, um Entwickler wirklich zu motivieren, sich zu beteiligen und mitzumachen.

Gamification: Ein einfacher Weg nach vorn.

Ich habe ein tiefes Bedürfnis, das Sicherheitsbewusstsein von Entwicklern zu verbessern und zu stärken. Diese Leidenschaft hat mich dazu motiviert, Secure Code Warriorzu gründen. Softwaresicherheit ist sehr wichtig und wirklich spannend.

Ich bin nicht allein.

Gamification kann selbst die alltäglichsten Aufgaben interessanter machen und dafür sorgen, dass Menschen motiviert bleiben, weiterzuspielen, zu gewinnen und Fortschritte zu erzielen – man denke nur an den Erfolg von Pokémon! Selbst die Faulsten verlassen ihr Sofa, um draußen nach fiktiven Kreaturen zu suchen, oder FitBit macht das Erreichen einer bestimmten Schrittzahl zum täglichen Ziel vieler Menschen... Wenn diese Ziele nicht erreicht werden, wenn die Siegesserie endet oder keine Abzeichen gewonnen werden, entsteht ein sehr reales Gefühl der Enttäuschung.

Zurück zum Thema Sicherheitstraining. Wir haben bereits vielen Kunden bewiesen, dass Gamification der Schlüssel ist, um die Sicherheitskultur in ihrem Unternehmen wirklich zu verändern, eine Brücke zwischen AppSec und den Entwicklungsteams zu schlagen und ihnen insgesamt dabei zu helfen, Software mit höheren Standards zu entwickeln.

Derzeit hat Sicherheit für Entwickler keine oberste Priorität. Durch die Einbindung freundlicher, wettbewerbsorientierter und fesselnder Elemente in die Trainingsmethoden motivieren Sie sie, nicht nur „zu spielen“, sondern auch immer wieder zurückzukommen, um mehr Punkte zu sammeln, Highscores zu knacken, genauer zu werden und ihre Teamkollegen herauszufordern.

Wir wissen bereits, dass eine erfolgreiche Schulung wie folgt aussieht:

• Entwickler können mit echtem Code und ihrer eigenen Sprache/ihrem eigenen Framework arbeiten.
• Die Herausforderung ist kurz und deckt alle gängigen Sicherheitslücken ab.
• Die Herausforderungen werden ständig erweitert und aktualisiert, sodass Entwickler ihre Fähigkeiten im Laufe der Zeit weiter ausbauen können.
• Die Komplexität der Herausforderungen variiert, sodass sowohl erfahrene als auch unerfahrene Entwickler daran teilnehmen können.
• Entwickler und ihre Manager können den Fortschritt einsehen, einschließlich der von ihnen bewältigten Herausforderungen, ihrer Stärken und Schwächen, der für Schulungen aufgewendeten Zeit und ihrer Gesamtgenauigkeit.

Einer unserer größten Kunden hat bei der Einführung seiner Gamification-Plattform deren wahre Magie unter Beweis gestellt: Er stellte den Entwicklern thematische Teamausrüstung zur Verfügung, versorgte die Gewinner des Spiels mit erstaunlichen Preisen und machte ihr Turnier zu einem unvergesslichen Tag. Seitdem veranstalten sie internationale Wettbewerbe, und bis heute trainiert ihr gesamtes Team weiterhin intensiv.

Ihre eigene Software-Revolution beginnt hier. Die australische Bankenbranche ist führend bei der Einführung von Gamification-Schulungen zur Bekämpfung von fehlerhaftem Code und verfolgt einen wirklich innovativen Ansatz, der traditionelle (oder langweilige) Schulungen revolutionieren kann – sehen Sie sich an, was unsere Kunden mit ihnen gemacht haben: Next Level Championship. Sind Sie bereit, Ihr Team mit uns auf die nächste Stufe zu bringen?

Wir müssen uns bemühen, die Art und Weise, wie wir kommunizieren, zu ändern, damit Sicherheit zu einem unverzichtbaren Bestandteil der Arbeit jedes Entwicklers wird. Ich glaube, dass eine der besten Möglichkeiten, dies zu erreichen, darin besteht, Entwickler durch Gamification und andere Methoden in Sicherheitsfragen zu befähigen und mit ihnen zu interagieren.