Sicherheitscode-Einblicke

Künstliche Intelligenz hat eine neue Art von Software-Risiken hervorgebracht. Instant Injection, Broken Operations und übermäßige Agent-Berechtigungen sind nicht nur theoretische Probleme, sondern aktive Bedrohungen in modernen Anwendungen.

Entwickler müssen sich in diesen neuen, anspruchsvollen Modellen mit der Komplexität der realen Welt auseinandersetzen. Aus diesem Grund haben wir die Cybermon 2025 AI/LLM Boss-Aufgabe von einer begrenzten Aktivität in eine integrierte AI/LLM Boss-Aufgabe für Security Code Warriors umgewandelt. Wenn Sie eine neue Aufgabe erstellen, finden Sie die Sammlung „Cybermon 2025: Bekämpfung fehlgeschlagener Bosse” im Abschnitt „Sicherheitsübersicht” unter „Sicherheitsübersicht ”.

Cybermon 2025: Bekämpfung fehlgeschlagen Der Boss erlaubt es der Organisation, diese hochkomplexen intelligenten Sicherheitsmaßnahmen nach dem Zufallsprinzip in ihre Sicherheitscodierung zu integrieren.

Ist der Boss besiegt?

击败 Boss 汇集了四场高级 AI/LLM 的战斗竞赛，在测试现实世界中安全的人工智能开发能力。

Jedes Thema umfasst ein kurzes Einführungsvideo und einen Leitfaden sowie eine motorische Aufwärmübung, um die Gründe für die Einrichtung anspruchsvoller Boss-Aufgaben in der Mitte von Cybermon 2025 zu erläutern. Diese schwerwiegenden Szenarien sind wichtiger als die tatsächlichen Kategorien von KI-Sicherheitslücken. Da KI-Anwendungen altersabhängig sind, müssen Entwickler diese Kategorien von Sicherheitslücken verstehen.

Die vier Boss-Missionen dinescIbutionBie zielen auf denselben AI-Risikobereich ab und simulieren den realen Kampfeinsatzmodus im AI-gesteuerten System:

• Bypassaur — Direkter Zugang zur sofortigen Injektion
• Keykraken — Indirekte sofortige Injektion
• Promptgeist — Vektoren und Vektorausdrücke
• Proxysurfa — Übermäßige Proxy-Nutzung

Nach Belieben ausführen

Wir empfehlen, sich jeweils auf einen Boss zu konzentrieren, damit jede Schwachstelle die „angemessene Aufmerksamkeit“ erhält. Viele Organisationen wählen den Selektor-Lauf:

• Jede Woche ein Chef, der sich auf KI-Sicherheit konzentriert
• oder der Autor als „Sicherheitslücke des Monats“-Programm – monatlich

Die Wissensdatenbank bietet strukturierte Empfehlungen und herunterladbare Markenressourcen, die Manager für interne Komponentenaktivitäten konfigurieren können:
Cybermon 2025: Ihre eigene „Beat the Boss”-Kampagne

Implementierung der KI-Sicherheitsbereitschaft

Künstliche Intelligenz beschleunigt die Neugestaltung der Software-Risikolandschaft. Neue Arten von Fehlern erfordern nicht nur Bewusstsein, sondern auch Anwendungserfahrung.

Durch das Besiegen des Bosses wird die Energie der Organisation ununterbrochen in Variablen umgewandelt, wodurch die künstliche Intelligenz Weiwei in die tatsächlichen Fähigkeiten der Entwickler umgewandelt wird.

Entwickler können jeden Krieg unabhängig ausprobieren und sich dann die Lösung der Anleitung ansehen, um das Denken und die Verteidigungsstrategien des Angreifers zu verbessern. Das vollständige Lösungsvideo steht nach dem Krieg zum Lernen zur Verfügung:

Viele Teams erweitern ihre Erfahrungen durch interne Wissensaustauschsitzungen und wandeln ereignisbasiertes Lernen von kompetitivem zu kollaborativem Lernen um. Sicherheitsentwicklung ist ein Teamwork. Wenn Entwickler, Sicherheitsbeauftragte und Ingenieurteams gemeinsam daran arbeiten, die sich ständig erweiternde Angriffsfläche von KI zu verstehen und zu entschärfen, sind Unternehmen optimal geschützt. Die Vereinfachung der Berichterstattung, der Austausch von „Lösungsansätzen“ und „teamübergreifende Diskussionen“ tragen dazu bei, dass „individuelle Kämpfe“ in kollektive Fähigkeiten umgewandelt werden.

Durch die Integration von Beat the Boss in Ihr Sicherheits- und Verschlüsselungsprogramm können Sie die Erfassung sicherer KI verbessern und gleichzeitig eine messbare KI-Sicherheitsreife in Ihrem Entwicklungsteam aufbauen.

Fangen wir an.

Wenn Sie eine neue Aufgabe erstellen, finden Sie die Sammlung „Cybermon 2025: Bekämpfung des gescheiterten Chefs“ im Abschnitt „Sicherheitsübersicht“ unter „Sicherheitsübersicht“. Melden Sie sich bei Ihrem Security Code Warrior-Konto an , konfigurieren Sie Ihre Komponenten und verbessern Sie die KI-Entwicklung für die Sicherheit Ihres gesamten Teams.

Das Gesetz zur Netzresilienz wird schnell zu einer strategischen Priorität – nicht nur für EU-Unternehmen, sondern für alle, die digitale Produkte auf dem europäischen Markt verkaufen. Obwohl die Frist für die Einhaltung bis 2027 verlängert wurde, beschäftigen sich die Ingenieurs- und Sicherheitsteams bereits mit kniffligen Fragen zur Sicherheit durch Designpraktiken, Schwachstellenbehebung und Entwicklungskapazitäten.

Im Gegensatz zu vielen anderen Vorschriften, die sich auf Dokumentation und Audits konzentrieren, stellt die CRA die sichere Softwareentwicklung in den Mittelpunkt der Compliance. Unternehmen, die frühzeitig in sichere Designkompetenzen investieren, erreichen schneller Compliance – und heben sich in einem Markt ab, in dem Produktsicherheit zu einem entscheidenden Kaufkriterium geworden ist.

Was verlangt das Gesetz zur Netzresilienz?

Der Cybersecurity Resilience Act (CRA) führt grundlegende Cybersicherheitsanforderungen für die meisten Produkte mit digitalen Komponenten auf dem EU-Markt ein, darunter Software, Betriebssysteme, vernetzte Geräte und eingebettete Systeme.

Noch wichtiger ist, dass sich die Verantwortlichkeitenändern werden.

Sicherheit ist nicht mehr nur eine Frage der Laufzeit oder des Betriebs. Unter CRA wird sie zu einer Verpflichtung in der Konzeption und Entwicklung, die Architektur, Implementierung, Wartung und Schwachstellenbehebung umfasst.

Für Führungskräfte im Bereich Technik und Sicherheit bedeutet dies:

• Das Produkt muss gemäß den Grundsätzen der „sicheren Konstruktion“ hergestellt werden.
• Bekannte Schwachstellen müssen so weit wie möglich verhindert und wirksam behandelt werden.
• Die Organisation muss nachweisen, dass sichere Entwicklungspraktiken vorhanden sind.

Kurz gesagt: Compliance ist untrennbar mit der Art und Weise verbunden, wie Entwickler Code schreiben und pflegen.

CRA für wen

Obwohl von der EU eingeführt, gilt die CRA für alle Organisationen weltweit, die digitale Produkte innerhalb ihres Geltungsbereichs auf den EU-Markt bringen, darunter:

• 其服务充当所涵盖产品的远程数据处理组件的软件供应商和 SaaS 提供商
• Hersteller von digitalen oder vernetzten Produkten
• Importeure, Händler und Einzelhändler
• Organisationen, die digitale Komponenten von Drittanbietern einbetten

Für globale Unternehmen ist die CRA-Bereitschaft eine Anforderung für die grenzüberschreitende Entwicklung und keine regionale Compliance-Maßnahme.

Warum fängt die Organisation jetzt damit an?

Wichtige Meilensteine:

• 2026 年 9 月 — 漏洞报告义务开始
• Dezember 2027 – Vollständige Konformität erforderlich

Auf den ersten Blick mag dieser Zeitplan komfortabel erscheinen. Tatsächlich vollzieht sich der Wandel jedoch nicht quartalsweise, sondern erstreckt sich über mehrere Jahre.

Sicherheitskonzeption ist keine Aktualisierung der Politik. Sie erfordert:

• Verbesserung der Entwicklungsfähigkeiten von Tausenden von sprach- und teamübergreifenden Mitarbeitern
• Sicherheitsdesignanforderungen in den täglichen Arbeitsablauf integrieren
• Von der passiven Fehlerbehebung zur Prävention
• Erstellen Sie messbare Nachweise dafür, dass sichere Entwicklungspraktiken einheitlich angewendet werden.

Diese Veränderungen wirken sich auf die Personalbeschaffung, die Einarbeitung neuer Mitarbeiter, Entscheidungen zur Organisationsstruktur, SDLC-Prozesse und die Unternehmenskultur aus. Unternehmen, die ihre Umstellung bis Ende 2026 hinauszögern, werden unter dem Druck der Aufsichtsbehörden versuchen, ihre Fähigkeiten anzupassen – ein wesentlich kostspieligerer und disruptiverer Weg.

Die Durchsetzung birgt auch erhebliche finanzielle Risiken. Gemäß Artikel 64 der CRA können bei Verstößen gegen grundlegende Cybersicherheitsanforderungen Geldstrafen in Höhe von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängt werden.

Bis Ende 2026 zu warten, ist zu spät.

CRA ist letztendlich eine Herausforderung für die Fähigkeiten der Entwickler.

Viele Vorschriften konzentrieren sich auf Richtlinien und Dokumente. CRA geht noch einen Schritt weiter und verbindet Compliance mit den tatsächlichen Praktiken, die bei der Entwicklung und Erstellung von Software zum Einsatz kommen. Es erhöht die Erwartungen an die sichere Entwicklung als operative Disziplin und nicht nur als Governance-Anforderung.

Für Projektleiter bedeutet dies, dass die Compliance davon abhängt, ob das Entwicklungsteam Sicherheitspraktiken konsequent anwendet, darunter:

• Häufige Schwachstellenkategorien verstehen
• Anwendungssicherheit und Architekturprinzipien
• Vermeidung unsicherer Implementierungsmuster
• Verantwortungsvoller Umgang mit Komponenten von Drittanbietern und Open-Source-Komponenten

Sicherheitstools spielen eine wichtige Rolle bei der Erkennung von Problemen. Nach dem Schreiben des Codes zeigen diese Tools jedoch Schwachstellen auf. Durch die Entwicklung sicherheitsorientierter Designs müssen Entwickler zunächst Schwachstellen verhindern und dies konsistent über alle Teams, Sprachen und Produkte hinweg umsetzen.

Dies kann nicht allein mit Werkzeugen erreicht werden. Das Ergebnis der Sicherheitsgestaltung hängt von den Fähigkeiten des Menschenab.

Wie unterstützt der Sicherheitscode-Kämpfer CRA-Bereitschaft?

Sicherheitscode-Helden bieten einen mit CRA kompatiblen Lernpfad. Sie kombinieren:

• Eine CRA-Standardaufgabe erfüllt die Anforderungen an technische Schwachstellen gemäß Anhang I Teil I.
• Ein durch Design sichergestelltes Sicherheitskonzept
• Hands-on-Lernen, Lernen von Schwachstellen in bestimmten Sprachen

Sehen Sie sich unseren Leitfaden auf einer Seite an, um mehr über alle CRA-konformen Lerninhalte bei SCW zu erfahren. SCW zertifiziert keine Konformität. Wir unterstützen die CRA-Vorbereitung durch strukturiertes Lernen und messbare Kompetenzsteigerung gemäß den Grundsätzen der sicheren Entwicklung, die den Vorschriften entsprechen.

Beginnen Sie sofort mit den Vorbereitungen für die CRA.

CRA spiegelt die Entwicklungsrichtung der Branche wider: Design Engineering wird als Standardvoraussetzung für die Gewährleistung der Sicherheit angesehen. Unternehmen, die jetzt in die Fähigkeiten ihrer Entwickler investieren, werden besser in der Lage sein, Compliance zu erreichen und langfristig robustere Software mit geringeren Risiken zu entwickeln.

Weitere Informationen darüber, Secure Code Warrior der Einhaltung von Vorschriften Secure Code Warrior , finden Sie in unserer Wissensdatenbank: Secure Code Warrior von VorschriftenSecure Code Warrior

Wir beginnen mit einer eingehenden Untersuchung der 10 Erfolgsfaktoren. Der grundlegende Schritt ist Erfolgsfaktor 1: Klare und messbare Erfolgskriterien. Wenn das Programm für sichere Codierung eine Reise ist, dann ist der erste und wichtigste Schritt, genau zu wissen, wohin Sie wollen. Das ist das Wesen des ersten Erfolgsfaktors.

Erfolgskriterien mit Geschäftsergebnissen verknüpfen

Die Einrichtung eines erfolgreichen Programms für sicheres Codieren erfordert klare Ziele, die eng mit den Geschäftsergebnissen verknüpft sind. Enabler 1 beantwortet die zentrale Frage: „Was sind die Probleme oder Schwachstellen, die wir mit dem Programm für sicheres Codieren in sehr konkreten und messbaren Begriffen lösen wollen?“

Vielleicht möchte Ihre Organisation Meetings zur Einhaltung von Compliance-Anforderungenabhalten oder Sicherheitslücken und Cyberangriffe vermeiden. Oder vielleicht suchen Sie nach Möglichkeiten, als Organisation von Grund auf neu zu beginnen, um Kosten und Zeit für Nacharbeiten zu reduzieren, indem Sie Entwickler darin schulen, von Anfang an sicher zu programmieren.

Unabhängig von Ihren Beweggründen, dem aktuellen Zustand Ihrer Organisation oder sogar der von Ihnen gewählten Sicherheits-Schulungsplattform hängt der langfristige Erfolg Ihres Programms in hohem Maße davon ab, ob klare Ziele mit den Geschäftszielen verknüpft sind, um Unterstützung zu erhalten und einen anhaltenden Erfolg sicherzustellen.

Berücksichtigen Sie bei der Festlegung der Erfolgskriterien die wichtigsten Stakeholder Ihres Programms. Wenn Sie Ihre Sponsoren in der Führungsetage und deren Geschäftsziele kennen, können Sie eine breitere Akzeptanz in allen Abteilungen erreichen.

Erfolg messbar machen

Diese Ziele müssen ihrem Wesen nach spezifisch für Ihre Organisation sein. Das heißt, sehen Sie sich diese typischen Geschäftsziele an und überlegen Sie, wie sie Sie zu weiteren Ideen inspirieren können:

Risikominderung: Mindern Sie Entwicklerrisiken und reduzieren Sie Schwachstellen, die durch Fehler im Code entstehen. Dazu gehören die Identifizierung von Risiken und die Verringerung der Angriffsfläche von Anwendungen.

Programme zielen häufig auf Kennzahlen wie die Reduzierung und Vermeidung der Schwachstellendichte oder der Schwachstellen-Injektionsrate ab.

Operative Geschwindigkeit: Maximieren Sie die Geschwindigkeit der Produktlieferung, reduzieren Sie die Frustration und Fluktuation der Entwickler und verringern Sie den Zeitaufwand für Nacharbeiten. Schulungen zum Thema sicherer Code sind ein wichtiger Anreiz für Entwickler, da sie ihnen helfen, zeitaufwändige Nacharbeiten an fehlerhaftem Code zu vermeiden, der erst später im Softwareentwicklungszyklus entdeckt wird.

Programme zielen häufig darauf ab, die durchschnittliche Zeit bis zur Behebung (MTTR) von Schwachstellen durch Entwickler zu reduzieren.

Einhaltung gesetzlicher Vorschriften: Erreichen Sie externe Compliance, beispielsweise durch die Einhaltung von Standards wie PCI-DSS (der Schulungen für alle Entwickler vorschreibt, die an Zahlungssystemen arbeiten).

Talent und Vertrauen: Steigern Sie das Engagement und das Bewusstsein für Sicherheit und Schwachstellen innerhalb der Entwicklerorganisation und stärken Sie gleichzeitig das Vertrauen Ihrer Kunden. Für einige Unternehmen tragen sicherheitsbewusste Entwickler dazu bei, sich vom Markt abzuheben.

Programme legen häufig Mindestanforderungen an die Fähigkeiten von Entwicklern fest oder schaffen sogar spezielle Security-Champion-Programme.

Erfolg im gemeinsamen Erfolgsprogramm dokumentieren

Nachdem die Erfolgskriterien definiert wurden, besteht der nächste Schritt darin, diese in einem gemeinsamen Erfolgsplanfestzuhalten. Dieser Plan ist ein funktionsübergreifender gemeinsamer Entwurf, der mit allen wichtigen Stakeholdern Ihres Plans geteilt wird, einschließlich externer Unterstützung, wie beispielsweise Ihrem Schulungsplattform-CSM.

Der Erfolgsplan umfasst:

1. Wertetreiber: Dazu gehören übergeordnete Geschäftsziele, die mit der Verbesserung der Codesicherheit und der Beantwortung der Frage „Warum?“ zusammenhängen.
2. Aktueller Status: Dies legt fest, „Wo stehen wir jetzt?“ (z. B. aktuelle Sicherheitscodierungskompetenzen oder vorhandene Schulungsprogramme).
3. Zukünftiger (gewünschter) Zustand: Als Nächstes sollten Sie festhalten, „wo wir hinwollen“, und festlegen, wie die Lücken in den Kenntnissen über sicheres Programmieren geschlossen werden können.
4. Leistungskennzahlen/Messgrößen: Diese Kennzahlen zeigen den Erfolg und verdeutlichen, dass sich die Kluft zwischen dem aktuellen Bundesstaat und dem zukünftigen Bundesstaat mit der Einführung des Programms verringert.

Wir empfehlen, mit einem oder zwei spezifischen Kennzahlen zu beginnen und diese bei Bedarf später zu erweitern. Diese Leistungskennzahlen/Maßnahmen müssen den S.M.A.R.T.-Prinzipien entsprechen (spezifisch, messbar, erreichbar, relevant, terminiert). Sie sollten leicht nachverfolgbar sein und nicht willkürlich interpretiert werden können. Um den Plan in die Tat umzusetzen, müssen alle Beteiligten Verantwortung übernehmen und regelmäßig gemeinsam mit der Geschäftsleitung den Wert und den Return on Investment überprüfen.

Durch die klare Definition und Messung dieser Kriterien wird Ihr Sicherheitsprogramm von einer einfachen Kostenstelle zu einem nachweisbaren Treiber für wichtige Geschäftsergebnisse – ein notwendiger erster Schritt zur Erreichung der Programmreife.

Als Nächstes werden wir uns eingehend mit dem zweiten Treiber befassen : der Unterstützung durch die oberste Führungsebene . Dabei werden wir die entscheidende Rolle der Führungskräfte bei der erfolgreichen Einführung von Sicherheitsprogrammen erörtern .

Haben Sie noch weitere Fragen?Kunden können sich an das Kundenteam oder an support@securecodewarrior.comwenden. Potenzielle Kunden können sich hiermit unserem Vertriebsteam in Verbindung setzen.

Eine Person, die sich dazu entschließt, sich kopfüber in ein Start-up-Unternehmen zu stürzen, wird mit vielen Begriffen bezeichnet, vom ambitionierten „Unternehmer“ bis hin zum deutlich weniger glamourösen „total verrückt“. Nach elf Jahren an der Spitze von Secure Code Warrior befinde ich mich glücklich irgendwo dazwischen. 

Die letzten fünf Jahre waren für viele eine Lektion in Sachen Widerstandsfähigkeit, mit unerwarteten Herausforderungen, wirtschaftlicher und anderer Art, die selbst einige der klügsten Köpfe der Welt nicht vorhersagen konnten. Man könnte hier an das Prinzip „Survival of the Fittest“ denken, aber ich bevorzuge dieses Zitat:

„Es sind nicht die Stärksten einer Spezies, die überleben, und auch nicht die Intelligentesten. Es sind diejenigen, die sich am besten an Veränderungen anpassen können.“

(Dies wird oft fälschlicherweise Charles Darwin zugeschrieben, aber tatsächlich stammt es von Professor Leon C. Megginson, der Darwins Werk „Die Entstehung der Arten“ zusammenfasste. Hoffentlich gewinnen Sie damit irgendwann einmal einen tollen Preis bei einem Pub-Quiz.)

Gibt es in unserer Welt ein besseres Beispiel für Wandel und Anpassungsfähigkeit als künstliche Intelligenz? Mehr als drei Jahre nach der Veröffentlichung von LLM versuchen wir immer noch zu verstehen, was diese Iteration ist, was sie leisten kann und wie sie uns in praktisch jeder heute existierenden Rolle am besten dienen kann. Unabhängig davon ist sie nicht mehr wegzudenken, und insbesondere als Cybersicherheitsexperten müssen wir ihr einen Schritt voraus sein, um sie zu schützen, auch wenn es noch keine offiziellen Leitplanken und Vorschriften gibt.

2025 war ein wichtiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte Arbeit mit sich bringt, in das Jahr 2026. 

Wir haben einige wichtige Meilensteine erreicht, darunter unseren Vorstoß in den Bereich der Absicherung von KI-gestützter Softwareentwicklung. Wir haben:

• Veröffentlicht Trust Agent: KI in die Beta-Testphase: Neue Forschungsergebnisse der CCIA bestätigen, dass generative KI die am schnellsten eingeführte Technologie der Geschichte ist. Daher ist es nicht verwunderlich, dass KI-Codierungsagenten und -Assistenten bei Entwicklern großen Anklang finden, einschließlich übereilter Einführungen auf Unternehmensebene, die schneller voranschreiten als die entsprechenden Sicherheitsprogramme.
  
  Unsere neueste Technologie, Trust Agent: AI, liefert die fehlende Komponente der Transparenz und Governance für KI-generierten Code. Sie bietet Sicherheitsverantwortlichen in Unternehmen die umfassende Beobachtbarkeit und Kontrolle, die sie benötigen, um die Einführung von KI in ihrem Softwareentwicklungslebenszyklus (SDLC) sicher zu verwalten, ohne dabei die Sicherheit zu beeinträchtigen.
• Wir haben unseren letzten großen Umsatzmeilenstein übertroffen: Das Übertreffen unseres Umsatzziels ist ein Beweis für die Hartnäckigkeit und Innovationskraft des gesamten Secure Code Warrior . Als wir diese Reise begannen, war es unsere Mission, über den „Checkbox“-Ansatz in Sachen Sicherheit hinauszugehen und Entwickler tatsächlich in die Lage zu versetzen, von der ersten Zeile an sicheren Code zu schreiben.
  
  Die Tatsache, dass diese Vision bei so vielen globalen Unternehmen Anklang findet, beweist, dass die Branche ihren Fokus endlich auf entwicklerzentrierte Sicherheit verlagert, und ich könnte nicht stolzer sein darauf, wie sich unsere Warriors dafür eingesetzt haben, Software für alle sicherer zu machen.
• Expertenintegrationen mit strategischen Partnern: Unsere Partnerschaften mit großartigen Unternehmen wie Aikido, OpenText und Black Duck stellen einen bedeutenden Schritt vorwärts in unserer Mission dar, ein nahtloses, entwicklerorientiertes Sicherheitsökosystem zu schaffen. Indem wir die Lücke zwischen der Identifizierung von Schwachstellen und der Bereitstellung der spezifischen Fähigkeiten zu deren Behebung schließen, schließen wir effektiv den Kreis der entwicklerorientierten Software-Risiken.
  
  Ich bin unglaublich stolz auf diese Partnerschaft, die eine strategische Verlagerung weg von fragmentierten Tools hin zu einer einheitlichen Erfahrung bedeutet, bei der Sicherheit eine natürliche Erweiterung des Entwicklungsworkflows ist.

Zu Beginn eines weiteren wichtigen Jahres möchte ich mich bei unseren immer zahlreicher werdenden Unterstützern bedanken, insbesondere denen aus der breiteren Cyber-Community, die sich weiterhin für die Bekämpfung wiederkehrender Schwachstellen, mangelnden Sicherheitsbewusstseins und minderwertiger Code-Ausgabe einsetzen. Durch die Einführung eines neuen, sichereren Standards können wir erste echte Verbesserungen bei der Sicherheit unserer Software, Dienste und Technologien feststellen. 

Wir investieren mit voller Kraft in eine Zukunft, in der KI unter der Aufsicht qualifizierter Menschen den Großteil des Codes schreibt. Unser SCW Learning entwickelt sich schnell weiter, um den Anforderungen dieser neuen Welt gerecht zu werden, und unser SCW Trust Agent: AI wird in den nächsten drei Monaten verfügbar sein, um den sicheren Betrieb von LLMs, MCPs und mehr im SDLC zu unterstützen. Außerdem stehen wir kurz davor, eine spannende neue Partnerschaft mit einem wichtigen Marktteilnehmer bekannt zu geben.

Bleiben Sie dran!

Eine Version dieses Artikels erschien in SC Magazineveröffentlicht. Sie wurde hier überarbeitet und gemeinsam veröffentlicht.


Wenn Sie jemals einen Einbruch in Ihrem Haus erlebt haben, kennen Sie das anfängliche Gefühl der Verwirrung, dass etwas nicht stimmt, und dann die Erkenntnis, dass tatsächlich etwas gestohlen wurde und Ihre Privatsphäre verletzt wurde. Dies führt oft zu anhaltendem Unbehagen, ganz zu schweigen von der Umstellung auf Sicherheitsmaßnahmen, die denen von Fort Knox in nichts nachstehen.

Stellen Sie sich nun vor, dass in Ihr Haus eingebrochen wird, weil sich die Diebe einen Schlüssel angefertigt haben. Sie schleichen herum, kommen und gehen, wie es ihnen gefällt, aber sie verhalten sich vorsichtig, um nicht entdeckt zu werden. Dann, eines Tages, stellen Sie fest, dass Ihr im Kühlschrank versteckter Schmuck verschwunden ist, der Safe leergeräumt wurde und Ihre persönlichen Gegenstände geplündert wurden.Es ist zu spät. Das ist die gleiche Realität, mit der Organisationen konfrontiert sind, die Opfer von Zero-Day-Cyberangriffen werden. Eine Studie des Ponemon Institute aus dem Jahr 2020 zeigt, dass 80 % aller erfolgreichen Datenlecks auf nicht gepatchte Schwachstellen zurückzuführen sind. Leider sind die meisten Unternehmen nach wie vor nicht in der Lage, diese Statistik wesentlich zu verbessern.

Wie der Name schon sagt, lassen Zero-Day-Angriffe Entwicklern keine Zeit, bestehende Schwachstellen zu entdecken und zu beheben, die ausgenutzt werden könnten, da die Angreifer zuerst zugreifen. Der Schaden ist bereits angerichtet, und dann beginnt ein hektischer Wettlauf um die Reparatur der Software und die Wiederherstellung des Rufs des Unternehmens. Die Angreifer sind immer im Vorteil, und es ist von entscheidender Bedeutung, diesen Vorteil so weit wie möglich zu verringern.

Das unerwünschte Weihnachtsgeschenk – Log4Shell – sprengt derzeit das Internet, wobei Berichten zufolge über eine Milliarde Geräte von dieser katastrophalen Java-Sicherheitslücke betroffen sind. Dies wird der schwerwiegendste Zero-Day-Angriff seit Beginn der Aufzeichnungen sein, und wir stehen erst am Anfang. Obwohl einige Berichte darauf hindeuten, dass die Ausnutzung der Sicherheitslücke bereits einige Tage vor der öffentlichen Bekanntgabe begann, ein Vortrag auf der Black Hat-Konferenz 2016 deutet darauf hin, dass dieses Problem bereits seit einiger Zeit bekannt ist. Autsch. Schlimmer noch: Die Schwachstelle ist leicht auszunutzen, und jeder Skripter und jeder Angreifer auf diesem Planeten nutzt sie, um Profit zu machen.

Was ist also der beste Weg, um sich vor absurden und bösartigen Bedrohungen zu schützen, ganz zu schweigen von den Schwachstellen, die während der Softwareentwicklung übersehen werden? Schauen wir uns das einmal an.

Zero-Day-Angriffe auf große Ziele sind selten (und kostspielig).

Der Markt für Exploits im Darknet ist riesig, und Zero-Day-Exploits sind oft sehr teuer. Ein Beispiel : Zum Zeitpunkt der Erstellung dieses Artikels lag der Listenpreis bei 2,5 Millionen US-Dollar. Berichten zufolge handelt es sich um eine Schwachstelle in Apples iOS, sodass es nicht verwunderlich ist, dass die Sicherheitsforscher einen hohen Preis verlangen. Schließlich könnte dies tatsächlich ein Einfallstor sein, um Millionen von Geräten zu hacken, Milliarden von sensiblen Datensätzen zu sammeln und so lange wie möglich Angriffe durchzuführen, bevor die Schwachstelle entdeckt und behoben wird.

Aber wer hat schon so viel Geld? In der Regel zahlen organisierte Cyberkriminelle Bargeld, wenn sie glauben, dass es sich lohnt, insbesondere bei beliebten Ransomware-Angriffen. Allerdings sind Regierungen und Verteidigungsbehörden weltweit potenzielle Kunden für Schwachstellen, die für Bedrohungsinformationen genutzt werden können. In einem positiveren Szenario könnten diese Unternehmen selbst ihre potenziellen ungeschützten Schwachstellen kaufen, um Katastrophen zu vermeiden.

2021 wurde ein Rekord bei der Entdeckung von Echtzeit-Sicherheitslücken ohne Patches gebrochen, wobei große Organisationen, Regierungsbehörden und Infrastrukturen am ehesten von Untersuchungen zu Sicherheitslücken betroffen waren. Es gibt keine Möglichkeit, sich vollständig vor Zero-Day-Angriffen zu schützen, aber Sie können durch großzügige und gut strukturierte Bug-Bounty-Programme „das Spiel spielen“. Anstatt darauf zu warten, dass jemand auf dem Darknet-Marktplatz den Schlüssel zur Software-Festung anbietet, sollten Sie legale Sicherheitsbegeisterte auf Ihre Seite bringen, indem Sie ihnen großzügige Belohnungen für ethische Offenlegung und potenzielle Behebungen anbieten.

Und wenn es sich zufällig um eine beängstigende neue Sicherheitslücke handelt, dann kann man mit Sicherheit sagen, dass Sie mehr als nur einen Amazon-Gutschein brauchen (und es lohnt sich, sich die Zeit dafür zu nehmen).

Ihre Werkzeuge können in der Verantwortung Ihres Sicherheitspersonals liegen.

Umständliche Sicherheitstools sind seit langem ein Problem. Der durchschnittliche Chief Information Security Officer (CISO) verwaltet zwischen 55 und 75 Tools in seinem Sicherheitsarsenal. Abgesehen davon, dass es sich um das verwirrendste (im übertragenen Sinne) Schweizer Taschenmesser der Welt handelt, sind sich 53 % der Unternehmen laut einer Studie des Ponemon Institute nicht einmal sicher, wie effizient sie arbeiten. Eine weitere Studie ergab, dass nur 17 % der CISOs ihre Sicherheitsmaßnahmen als „vollständig effektiv“ betrachten.

In einem Bereich, der für seine Erschöpfung, den Mangel an qualifiziertem Sicherheitspersonal zur Deckung des Bedarfs und die Forderung nach Flexibilität bekannt ist, ist es eine enorme Belastung für Sicherheitsexperten, mit einer Informationsflut in Form von Daten, Berichten und der Überwachung umfangreicher Tools umzugehen. Genau das kann dazu führen, dass sie wichtige Warnmeldungen übersehen, was bei der richtigen Bewertung der Schwachstelle von Log4j sehr wahrscheinlich der Fall war.

Präventive Sicherheit sollte entwicklergesteuerte Bedrohungsmodellierung umfassen.

Code-Level-Schwachstellen werden in der Regel von Entwicklern verursacht, die präzise Anleitungen und regelmäßige Schulungen benötigen, um sichere Programmierfähigkeiten zu erwerben. Als Teil des Softwareentwicklungsprozesses haben Entwickler der nächsten Generation jedoch die Möglichkeit, sich mit der Modellierung von Bedrohungen vertraut zu machen und diese zu üben.

Es ist nicht verwunderlich, dass diejenigen, die sich mit Software am besten auskennen, die Entwickler sind, die sie erstellen. Sie verfügen über umfassende Kenntnisse darüber, wie Benutzer mit der Software interagieren, wo sie diese Funktionen nutzen und wann sie über ein ausreichendes Sicherheitsbewusstsein verfügen, sowie über potenzielle Szenarien, in denen sie kompromittiert oder ausgenutzt werden könnte.

Wenn wir dieses Problem auf die Log4Shell-Sicherheitslücke zurückführen, sehen wir leider, dass eine katastrophale Sicherheitslücke der Erkennung durch Experten und komplexe Tools entgangen ist.Wenn die Bibliothek jedoch so konfiguriert worden wäre, dass Benutzereingaben bereinigt werden, wäre dies möglicherweise gar nicht passiert. Die Entscheidung, dies nicht zu tun, um die Benutzerfreundlichkeit zu erhöhen, scheint eine unbedeutende Funktion zu sein, die jedochsehr leicht ausgenutzt werden kann (man denke an SQL-Injection, was natürlich keine Genialität erfordert). Wenn die Bedrohungsmodellierung von einer Gruppe scharfsinniger, sicherheitsbewusster Entwickler durchgeführt worden wäre, wäre dieses Szenario wahrscheinlich theoretisch durchdacht und berücksichtigt worden.

Ein guter Sicherheitsplan beinhaltet emotionale Komponenten, und menschliche Eingriffe und Nuancen sind der Schlüssel zur Lösung menschlicher Probleme. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie sicheres Codieren und Konfigurieren auf der Ebene der Software- und Anwendungsarchitektur. Dies ist keine Aufgabe, die Entwickler über Nacht bewältigen sollten, aber es ist ein klarer Weg, ihre Fähigkeiten so zu verbessern, dass sie das Sicherheitsteam bei dieser wichtigen Aufgabe entlasten können – was ideal ist (und auch eine gute Möglichkeit, eine harmonische Beziehung zwischen den beiden Teams aufzubauen).

Null Tage führen zu n Tagen

Der nächste Schritt zur Behebung ungeschützter Sicherheitslücken besteht darin, so schnell wie möglich Patches zu veröffentlichen. Er hofft sehr, dass alle Nutzer der anfälligen Software diese Patches so schnell wie möglich installieren – natürlich bevor Angreifer darauf zugreifen können. Log4Shell könnte Heartbleed in den Schatten stellen, da es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten in der gesamten Softwareversion erzeugt, wodurch es sehr langlebig und wirksam ist.

Tatsächlich gibt es keine Möglichkeit, solche heimtückischen Angriffe vollständig zu verhindern. Aber solange wir uns dazu verpflichten, alle Mittel einzusetzen, um hochwertige, sichere Software zu entwickeln, und diese mit derselben Sorgfalt entwickeln wie kritische Infrastrukturen, haben wir alle die Chance, uns dagegen zu wehren.

KI-gestützte Entwicklung(oder, in einer populäreren Version, „Atmosphärencodierung“) hat einen enormen transformativen Einfluss auf die Codeerstellung. Erfahrene Entwickler nutzen diese Tools in Scharen, und diejenigen unter uns, die schon immer ihre eigene Software erstellen wollten, aber nicht über die entsprechende Erfahrung verfügen, nutzen sie, um Assets zu erstellen, deren Kosten und Zeitaufwand bisher zu hoch waren. Obwohl diese Technologie eine neue Ära der Innovation einläuten könnte, bringt sie auch eine Reihe neuer Schwachstellen und Risikoprofile mit sich, an deren Behebung Sicherheitsverantwortliche derzeit arbeiten.

Eine kürzlich entdeckte Schwachstelle in InvariantLabs wurde im Model Context Protocol (MCP) gefunden, einem API-ähnlichen Framework, das leistungsstarken KI-Tools die autonome Interaktion mit anderer Software und Datenbanken ermöglicht und sogenannte „Tool-Poisoning-Angriffe“ ermöglicht, eine neue Kategorie von Schwachstellen, die Unternehmen besonders großen Schaden zufügen kann. Auch führende KI-Tools wie Windsurf und Cursor sind davon nicht ausgenommen. Für Millionen von Nutzern sind das Bewusstsein und die Fähigkeiten zum Umgang mit diesem neu auftretenden Sicherheitsproblem von entscheidender Bedeutung.

Derzeit sind die Ergebnisse dieser Tools nicht immer sicher genug, um sie als unternehmensfähig zu kennzeichnen, wie in einer aktuellen Forschungsarbeit der AWS- und Intuit-Sicherheitsforscher Vineeth Sai Narajala und Idan Habler dargelegt wird:„Da KI-Systeme immer autonomer werden und beginnen, über Dinge wie MCP direkt mit externen Tools und Echtzeitdaten zu interagieren, ist es absolut unerlässlich, die Sicherheit dieser Interaktionen zu gewährleisten.“

Risikoprofil für die Vertretung von KI-Systemen und Modellkontextprotokollen

Das Model Context Protocol ist eine praktische Software, die von Anthropic entwickelt wurde und eine bessere, nahtlosere Integration zwischen großen Sprachmodellen (LLM), KI-Agenten und anderen Tools ermöglicht. Dies ist ein leistungsstarker Anwendungsfall, der eine Welt voller Möglichkeiten zwischen proprietären Anwendungen und geschäftskritischen SaaS-Tools wie GitHub eröffnet, die mit modernsten KI-Lösungen interagieren können. Schreiben Sie einfach einen MCP-Serverund dann Richtlinien festzulegen, wie es funktionieren und was es leisten soll.

Tatsächlich hat die MCP-Technologie überwiegend positive Auswirkungen auf die Sicherheit. Das Versprechen einer direkteren Integration zwischen LLM und den von Sicherheitsexperten verwendeten Technologie-Stacks ist zu verlockend,dass es nicht ignoriert werden kann. Es bietet die Möglichkeit, präzise Sicherheitsaufgaben auf einem bisher unmöglichen Niveau zu automatisieren, zumindest ohne für jede Aufgabe benutzerdefinierten Code schreiben und bereitstellen zu müssen. Angesichts der Tatsache, dass eine umfassende Sichtbarkeit und Konnektivität zwischen Daten, Tools und Mitarbeitern die Grundlage für eine effektive Sicherheitsabwehr und -planung bildet, bietet MCP durch die Verbesserung der Interoperabilität von LLM spannende Perspektiven für die Unternehmenssicherheit.

Die Verwendung von MCP kann jedoch andere potenzielle Bedrohungsträger mit sich bringen, die ohne sorgfältige Verwaltung die Angriffsfläche eines Unternehmens erheblich vergrößern können. Wie vom Unchanging Labaufgezeigt ,stellen Tool-Poisoning-Angriffeeine neue Kategorie von Schwachstellen dar, die dazu führen können, dass KI-Modelle sensible Daten preisgeben und unbefugte Operationen ausführen. Seitdem ist die Sicherheitslage schnell sehr düster geworden.

InvariantLabs weist darauf hin, dass Tool-Infektionsangriffe möglich werden, wenn böswillige Befehle in die Beschreibung eines MCP-Tools eingebettet sind, die für den Benutzer nicht sichtbar sind, aber vollständig von KI-Modellen gelesen (und ausgeführt) werden können. Dies kann dazu führen, dass das Tool ohne Wissen des Benutzers unbefugte schädliche Aktionen ausführt. Das Problem liegt in der Annahme von MCP, dass alle Tool-Beschreibungen vertrauenswürdig sind, was für Angreifer geradezu ideal ist.

Sie haben die folgenden möglichen Folgen beschädigter Werkzeuge festgestellt:

• AI-Modellen den Zugriff auf sensible Dateien (wie SSH-Schlüssel, Konfigurationsdateien, Datenbanken usw.) erlauben;
• Weisen Sie die KI an, diese Daten in einer Umgebung zu extrahieren und zu übertragen, in der diese böswilligen Handlungen vor ahnungslosen Benutzern verborgen bleiben.
• Durch das Verbergen hinter scheinbar einfachen Werkzeugparametern und der Darstellung der Benutzeroberfläche wird eine Diskrepanz zwischen dem, was der Benutzer sieht, und den Operationen des KI-Modells geschaffen.

Dies ist eine besorgniserregende Kategorie von Sicherheitslücken, die mit dem unvermeidlichen Anstieg der MCP-Nutzung mit ziemlicher Sicherheit häufiger auftreten wird. Im Zuge der Weiterentwicklung von Unternehmenssicherheitsprogrammen werden vorsichtige Maßnahmen zur Erkennung und Eindämmung dieser Bedrohung ergriffen werden, wobei es von entscheidender Bedeutung ist, dass Entwickler gut auf die Mitwirkung an Lösungen vorbereitet sind.

Warum können nur Entwickler mit Sicherheitskenntnissen KI-Tools nutzen?

Agentische KI-Codierungswerkzeuge gelten als die nächste Evolutionsstufe der KI-gestützten Codierung und steigern die Effizienz, Produktivität und Flexibilität in der Softwareentwicklung. Ihre verbesserte Fähigkeit, Kontext und Absichten zu verstehen, macht sie besonders nützlich, aber sie sind nicht immun gegen Bedrohungen wie sofortige Injektionen, Halluzinationen oder Verhaltensmanipulationen durch Angreifer.

Entwickler sind die Verteidigungslinie zwischen guten und schlechten Code-Einreichungen. Die Aufrechterhaltung einer scharfen Sicherheitswahrnehmung und kritischen Denkens wird die Grundlage für die zukünftige Entwicklung sicherer Software sein.

Man darf sich nicht blind auf die Ergebnisse künstlicher Intelligenz verlassen. Nur Entwickler mit Sicherheitsfachwissen, die über kritisches Denken in Bezug auf den Kontext verfügen, können die Produktivitätssteigerung, die diese Technologie mit sich bringt, sicher nutzen. Dennoch muss dies in einer Umgebung mit paarweiser Programmierung geschehen, in der menschliche Experten die Arbeit des Tools bewerten, Bedrohungen modellieren und schließlich genehmigen können.

Erfahren Sie hiermehr darüber, wie Entwickler mithilfe von KI ihre Fähigkeiten verbessern und ihre Arbeitseffizienz steigern können.

Praktische Entspannungstechniken und mehr aus unserer neuesten Forschungsarbeit

Künstliche Intelligenz-Codierungstools und MCP-Technologie werden zweifellos zu wichtigen Faktoren für die Cybersicherheit der Zukunft werden, aber es ist von entscheidender Bedeutung, dass wir nicht tauchen, bevor wir die Gewässer untersucht haben.

Narajala und Habler beschreiben in ihrem Artikel detailliert umfassende Strategien zur Risikominderung und zum kontinuierlichen Risikomanagement bei der Implementierung von MCP auf Unternehmensebene. Letztendlich konzentriert sich der Artikel auf die Prinzipien der tiefgreifenden Verteidigung und des Zero Trust und beleuchtet die besonderen Risiken, die dieses neue Ökosystem für die Unternehmensumgebung mit sich bringt. Insbesondere für Entwickler ist es von entscheidender Bedeutung, Wissenslücken in den folgenden Bereichen zu schließen:

• Identitätsprüfung und Zugriffskontrolle: Agente-basierte KI-Tools dienen dazu, Probleme zu lösen und autonome Entscheidungen zu treffen, um die für sie festgelegten Ziele zu erreichen. Dies entspricht in etwa der Art und Weise, wie Menschen technische Aufgaben bearbeiten. Wie wir jedoch bereits festgestellt haben, darf die fachkundige manuelle Überwachung dieser Prozesse nicht vernachlässigt werden. Entwickler, die diese Tools in ihren Arbeitsabläufen einsetzen, müssen genau wissen, über welche Zugriffsrechte sie verfügen, welche Daten sie abrufen oder möglicherweise offenlegen und wo diese Daten weitergegeben werden können.
• Allgemeine Erkennung und Minderung von Bedrohungen: Wie bei den meisten KI-Prozessen müssen Benutzer selbst mit den Aufgaben vertraut sein, um potenzielle Mängel und Ungenauigkeiten in den Tool-Ausgaben zu erkennen. Entwickler müssen sich kontinuierlich weiterbilden und ihre Fähigkeiten regelmäßig überprüfen lassen, um Sicherheitsprozesse effektiv zu überprüfen und den von KI generierten Code mit Sicherheit und Autorität zu überprüfen.
• Übereinstimmung mit Sicherheitsrichtlinien und KI-Governance: Entwickler sollten über zugelassene Tools informiert werden und die Möglichkeit erhalten, ihre Fähigkeiten zu verbessern und Nutzungsrechte zu erwerben. Sowohl Entwickler als auch Tools sollten vor der Übermittlung einer Vertrauensübermittlung einem Sicherheits-Benchmark-Test unterzogen werden.

Wir haben kürzlich eine Forschungsarbeit über die Entstehung von Atmosphärencodierung und KI-gestützter Codierung sowie über die Maßnahmen veröffentlicht, die Unternehmen ergreifen müssen, um die nächste Generation von KI-gesteuerten Softwareentwicklern zu fördern. Sehen Sie sich die Arbeit jetzt an und kontaktieren Sie uns, um Ihr Entwicklungsteam zu stärken.

Eine Version dieses Artikels erschien ursprünglich auf DZone. Es wurde hier aktualisiert und veröffentlicht.

Die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) wird fast alles verändern, was die Sicherheit von Unternehmen oder Organisationen betrifft, die elektronische Zahlungen akzeptieren (was die überwiegende Mehrheit ist). Diese Aktualisierung wird zweifellos für die meisten Unternehmen eine Umwälzung bedeuten und sie dazu zwingen, viele Sicherheitsprozesse zu aktualisieren und möglicherweise neue Schutzmaßnahmen in den Bereichen Verschlüsselung, Authentifizierung, Zugriffskontrolle, Schlüsselverwaltung und anderen Bereichen einzuführen, in denen bisher nur langsame Fortschritte erzielt wurden.

Aufgrund der Komplexität der neuen Anforderungen können Organisationen erst bis März 2025 vollständige Konformität erreichen. Dieser Stichtag wird jedoch früher kommen, als den meisten bewusst ist. Tatsächlich ergreifen viele vorausschauende Unternehmen bereits jetzt Maßnahmen, um ihre Entwickler in die Lage zu versetzen, sich in der noch offenen Compliance-Landschaft zurechtzufinden.

Über das Training hinaus, das sofort nach dem Auspacken verfügbar ist

Die Entwickler der Organisation schreiben den Großteil des Codes, auf dem ihre Infrastruktur basiert. Daher sind sie ein guter Ausgangspunkt für die Umsetzung der neuen PCI DSS 4.0-Anforderungen. Als Teil eines aktualisierten Sicherheitsbewusstseinsprogramms benötigen die meisten Entwickler jedoch strategische Unterstützung, um ihre Fähigkeiten zu verbessern. Damit soll sichergestellt werden, dass sie über die erforderliche Erfahrung verfügen, um das höhere Sicherheitsniveau zu erreichen, das für die Umsetzung und Aufrechterhaltung der neuen Standards erforderlich ist.

Tatsächlich verlangt PCI DSS 4.0 in Anforderung 12.6.2 von Organisationen, dass sie ein formelles Sicherheitsprogramm implementieren und dieses anhand der neuesten Bedrohungsinformationen und Abwehrtechnologien aktualisieren. Nach den älteren Standards reichten ein grundlegendes Sicherheitsprogramm und sogar eine jährliche Compliance-Schulung im Stil einer „Checkliste“ aus, um die Ziele zu erreichen. Die Anforderungen des neuen Standards gehen weit darüber hinaus und verlangen sogar, dass das Sicherheitsschulungsprogramm auf die spezifischen Bedrohungen und Schwachstellen in der Unternehmensumgebung zugeschnitten ist.Wenn beispielsweise Identitätsdiebstahl ein großes Problem für die Organisation darstellt, muss die Schulung dieses Problem behandeln.

Es ist offensichtlich, dass eine minimale Schulung sowohl aus praktischer Sicht als auch im Hinblick auf die Einhaltung der neuen Standards nicht mehr ausreicht. Stattdessen müssen Unternehmen ihren Entwicklern umfassende, agile Lernmöglichkeiten bieten, um ihnen beizubringen, wie sie bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden können. Indem sie über die Mindestanforderungen zur Einhaltung der Vorschriften hinausgehen und ihren Entwicklern die Ressourcen zur Verfügung stellen, die sie für ein echtes Verständnis der Sicherheit benötigen, können Unternehmen ihren Entwicklern helfen, insgesamt bessere Sicherheitsentscheidungen zu treffen und gleichzeitig PCI DSS 4.0 einzuhalten.

Die gute Nachricht ist, dass viele der neuen Anforderungen in PCI DSS 4.0 Bereiche betreffen, mit denen die meisten Entwickler bereits vertraut sind, wie Authentifizierung, Verschlüsselung, Zugriffskontrolle, Schlüsselverwaltung usw. Wenn Entwicklern geeignete, relevante und vertraute Ressourcen zur Verfügung gestellt werden, um ihre Fähigkeiten zu verbessern, können Unternehmen sie leichter auf die neuen Standards und größeren Verantwortlichkeiten vorbereiten, die mit den Anforderungen von PCI DSS 4.0 einhergehen.

PCI DSS 4.0 als Grundlage für die Verbesserung der Gesamtsicherheit nutzen

Obwohl die Erfüllung der Anforderungen der Entwickler durch eine gute Sicherheitsschulung der Schlüssel zur erfolgreichen Einhaltung der neuen PCI DSS 4.0-Standards ist, endet die Bemühung, Organisationen zu einer besseren Cybersicherheit zu bewegen, damit nicht unbedingt.Ja, diese Anforderungen sind streng, aber da die meisten Unternehmen Anstrengungen unternehmen müssen, um sie zu erfüllen, gibt es keinen Grund, diese Bemühungen nicht als Sprungbrett für eine bessere allgemeine Sicherheitsbewusstsein und -schulung zu nutzen. Dies hilft Unternehmen nicht nur bei der Erfüllung der Compliance-Anforderungen, sondern fördert auch eine positive Sicherheitskultur, in der bewährte Verfahren Priorität haben und sichergestellt wird, dass alle Mitarbeiter des Unternehmens auf dasselbe Ziel hinarbeiten: Sicherheit an erster Stelle.

Natürlich gibt es eine gewisse Lernkurve, aber Entwickler sind wahrscheinlich bereit, diese Anstrengungen zu unternehmen. In Evans' Datenumfrage unter mehr als 1.200 weltweit aktiven professionellen Entwicklern sprach sich die überwiegende Mehrheit für die Erstellung sicherer Codes und die Schaffung einer besseren Sicherheitskultur in Unternehmen aus. Offensichtlich begrüßen die meisten Entwickler eine strategische Umstellung auf sicheres Codieren während des Entwicklungsprozesses und eine Neufestlegung der Sicherheitsprioritäten.

Die in PCI DSS 4.0 festgelegten Sicherheitsupgrades bieten Unternehmen einen perfekten Anlass, in die Verbesserung von Sicherheitsbestpraktiken und Schulungen zu investieren und eine bessere allgemeine Sicherheitskultur innerhalb der Organisation zu etablieren.

Wenn Entwicklerunternehmen in ein Programm investieren, das es ihnen ermöglicht, sichere Programmierkenntnisse mit entsprechenden Tools und Schulungen zu kombinieren, können Entwickler leichter ein höheres Sicherheitsniveau erreichen. Dies wiederum trägt zur Schaffung einer Sicherheitskultur bei, in der Entwickler bessere Entscheidungen treffen können, wodurch sich die allgemeine Sicherheit des Unternehmens verbessert und sogar weit über die strengen neuen PCI DSS 4.0-Standards hinausgeht.
‍

Nach nur wenigen Minuten des Lesens von Technologie-Nachrichten wird schnell klar, wie gefährlich die Bedrohungslage geworden ist. Es scheint, als gäbe es täglich Berichte über schwerwiegende Sicherheitslücken, neue Schwachstellen oder ernsthafte Bedrohungen, die von Cyberangreifern und Kriminellen aktiv ausgenutzt werden. Und fast alle Branchenindikatoren und Berichte zeigen, dass die Zahl der Cyberbedrohungen immer gefährlicher wird. Die meisten Experten sagen voraus, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.

Angesichts dieser neuen Bedrohungen sind die IT-Sicherheitsmitarbeiter an vorderster Front erschöpft und unterbesetzt. Trotz hoher Gehälter und ihrer Unverzichtbarkeit für fast jedes Unternehmen oder jede Organisation gibt es nie genug Sicherheitspersonal, um alle Bereiche abzudecken.In einer aktuellen Umfrage des Center for Strategic and International Studies gaben 82 % der IT-Entscheidungsträger an, dass in ihren Organisationen ein Mangel an Cybersicherheitskompetenzen besteht, und 71 % der Entscheidungsträger gaben an, dass dieser Mangel ihrer Organisation direkten und messbaren Schaden zufügt. Der Bericht stellt fest, dass allein in den USA in einem Bereich, in dem nur etwa 940.000 Menschen beschäftigt sind, mehr als 520.000 Stellen im Bereich Cybersicherheit unbesetzt sind.

Weltweit gibt es derzeit etwa 3,5 Millionen offene Stellen im Bereich Cybersicherheit. Das bedeutet, dass es selbst für Unternehmen, die bereit sind, hohe Summen für die Einstellung und Bindung von Spitzenkräften zu zahlen, schwierig ist, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle – sofern sie überhaupt besetzt werden kann.

Entwicklerunterstützung wurde viel zu lange vernachlässigt.

Wir haben festgestellt, dass viele frühere Blogs darauf hingewiesen haben, dass Entwickler dazu genutzt werden können, einige wichtige Lücken in der Cybersicherheitsabwehr zu schließen. Allerdings haben Entwickler traditionell nie eine Cybersicherheitsschulung erhalten. Ihre Arbeitsleistung hängt fast ausschließlich von der Geschwindigkeit und dem Zeitpunkt der Bereitstellung ab. Sicherheit ist die Aufgabe der zukünftigen AppSec-Teams.

Leider geht es hier nicht nur darum, einen Gang höher zu schalten und von den Entwicklern zu verlangen, dass sie plötzlich damit beginnen, ihre Anwendungen und Programme sicherer zu machen. Selbst wenn sie zu diesen Änderungen bereit sind – und Umfragen zeigen, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Führungskräfte, aber der erste und größte Stolperstein ist es, sinnvolle Schulungen zu erhalten.

Es gibt einen Grund dafür, dass weltweit Millionen hochbezahlte und sichere Stellen im Bereich IT-Sicherheit unbesetzt sind. Wenn die Arbeit einfach wäre, würde jeder in diesen Bereich einsteigen.Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslage ändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, kann selbst bei relativ technisch versierten Entwicklern mit statischen Schulungen nicht effizient durchgeführt werden, da diese schnell veraltet sind, nicht im Gedächtnis bleiben und nur einen geringen positiven Effekt haben, insbesondere wenn diese Anforderungen zu ihrem ohnehin schon überfüllten Zeitplan hinzukommen.

Errichte ein Gerüst, um höhere Stellen zu erreichen.

Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne selbst Hand anzulegen. Das ist unmöglich, da den Schülern viele der grundlegenden Konzepte fehlen, die für komplexe Bereiche wie Cybersicherheit erforderlich sind. Um dies auszugleichen, kann das Konzept des „gerüstartigen Lernens” zum Einsatz kommen.

Bei der Verwendung von Gerüsten oder „Schichtungsmethoden“ zum Aufbau von Fähigkeiten werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Auf diese Weise wird sichergestellt, dass die Schüler jedes Konzept durch geeignete Übungen und Anleitungen beherrschen und somit alle erforderlichen Unterstützungsmaßnahmen für jeden einzelnen Bestandteil erhalten. Auf den bereits beherrschten Konzepten bauen neuere, fortgeschrittenere Konzepte auf, ähnlich wie beim Bau eines physischen Gerüsts, das mit zunehmender Höhe des Gebäudes errichtet wird.Auf diese Weise erreichen die Schüler ein höheres Verständnis- und Kompetenzniveau, als sie es ohne Hilfe erreichen könnten.

Wie bei einem physischen Gerüst wird diese Unterstützung nach und nach entfernt, wenn sie nicht mehr benötigt wird. Mit zunehmender Kompetenz übernehmen die Schüler mehr Verantwortung.

Das Gerüstlernen wird hauptsächlich eingesetzt, um negative Emotionen und Selbstwahrnehmung zu reduzieren, die bei Schülern auftreten können, wenn sie ohne Hilfe versuchen, schwierige Aufgaben zu bewältigen, und sich dabei frustriert, eingeschüchtert oder entmutigt fühlen.Es kann jedoch auch von großem Wert sein, wenn es darum geht, äußerst schwierige Konzepte wie moderne Cybersicherheit zu verstehen. Es handelt sich dabei keineswegs um eine Art, Entwickler wie Kinder zu behandeln, sondern es ist besonders dann nützlich, wenn ihre Erfahrungen im Sicherheitsteam ebenso frustrierend und entmutigend sein können, insbesondere wenn ihre harte Arbeit durch Fehlerbehebungen und neue Kritik zunichte gemacht wird.

Wenn Entwicklern Tools zur Verfügung gestellt werden, mit denen sie die Grundlagen der sicheren Programmierung erlernen können (in der Regel anhand der OWASP Top 10), können sie mit eigenen Augen sehen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen.Danach können sie ihr Wissen durch die Behebung komplexerer Schwachstellen erweitern und praktische Erfahrungen mit der Anwendung bewährter Korrekturen sammeln. Diese Ebenen bauen aufeinander auf, sodass fortgeschrittene Sicherheitsprobleme (z. B. unsichere Softwarearchitekturen oder die Beteiligung an Bedrohungsmodellierungen) weniger einschüchternd wirken und präzise gelöst werden können.

Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Entwicklerunterstützung einführen, damit diese qualitativ hochwertigere Software produzieren können. Als zusätzlicher Vorteil für Unternehmen, die ihre Kompetenzen verbessern möchten, führt jeder Schritt oder jede Ebene des Gerüsts direkt zu einer besseren Cybersicherheit während des Lernprozesses. Sie müssen nicht bis zum Ende des Kurses warten, um Ergebnisse zu sehen.

Das Erlernen von Cybersicherheit ist schwierig und ohne die richtige Hilfe und Anleitung fast unmöglich zu meistern. Die Kombination von Sicherheitsplänen mit dem Scaffolding-Lernen kann dabei helfen, ihr Potenzial voll auszuschöpfen, wobei sich die Vorteile fast sofort zeigen. Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiterentwickeln.

Beginnen Sie mit uns, sichere Entwickler auszubilden. Sehen Sie sich Folgendes an:

Kurse
Aufgaben
Entwicklerschulungen

... und vieles mehr!

Wir freuen uns sehr, dass kürzlich der erste Beitrag des Forbes Technology Council von unserem Vorsitzenden und CEO Peter Danks veröffentlicht wurde. Dieser Artikel beschreibt detailliert, wie die Fähigkeiten von Entwicklern verbessert werden können, um sichereren Code zu erstellen, der entscheidend für die Verhinderung von Cyberangriffen und Datenlecks ist. Darüber hinauser zeigt auch, wie diese sicherheitsbewussten Entwickler dazu beitragen können, besseren und sichereren Code zu liefern, als vielen IT-Abteilungen bewusst ist. Der Bedarf an einem solchen Ansatz ist zweifellos dringend. Eine aktuelle Studie hat ergeben, dass derzeit alle 39 Sekunden ein Cyberangriff stattfindet, und wir alle haben gesehen, welche Störungen ein einziger erfolgreicher Ransomware-Angriff auf die Colonial Pipelineverursacht hat, der aus einer größeren Perspektive betrachtetweniger zerstörerisch war als der Hackerangriff auf SolarWinds.

‍

Viele gängige Sicherheitslücken bestehen weiterhin, da niemand bereit ist, Entwicklern zu zeigen, wie sie schlechte Codierungsmuster durch sicherere und zuverlässigere Methoden ersetzen können, mit denen sich dieselben Funktionen besser ausführen lassen. Darüber hinaus ist die Behebung von Softwarefehlern in einer späten Phase der Softwareentwicklung mit extrem hohen Kosten verbunden, sowohl was den Zeitaufwand als auch die Verzögerung bei der Bereitstellung angeht. Die Behebung von Fehlern nach der Bereitstellung des Codes kann manchmal Millionen von Dollar kosten, insbesondere wenn Angreifer zuvor unentdeckte Sicherheitslücken ausnutzen.Dabei ist der Schaden für den Ruf des Unternehmens nach einem schwerwiegenden Verstoß noch nicht einmal berücksichtigt.

Entwickler, die eine Sicherheitsschulung absolviert haben, werden natürlich zu besseren Programmierern. Natürlich sollte der Chief Information Security Officer (CISO) seine Sicherheitswerkzeuge nicht kurzfristig aufgeben, aber durch einen integrativen, präventiven Sicherheitsansatz der obersten Führungsebene kann der CISO die größte Ressource seines Unternehmens nutzen, nämlich den Faktor Mensch, insbesondere wenn es um sicheres Programmieren zu Beginn des Softwareentwicklungszyklus geht.

Dazu sollten Sie sich die folgenden drei wichtigsten fortgeschrittenen Strategien merken.

1. Proaktiv statt passiv

Unternehmen geraten oft in die Falle, nur passiv zu reagieren, beispielsweise auf das Verhalten von Wettbewerbern, anstatt eine einzigartige Vision zu entwickeln und zu verfolgen. Wenn es um Sicherheitslücken im Code geht, verhalten sich viele ebenfalls so und nehmen Cybersicherheit erst dann ernst, wenn eine erfolgreiche Sicherheitslücke aufgedeckt wurde. Leider ist der Schaden dann bereits angerichtet,und die Kosten für Strafen, Rückforderungen, Kundenverluste und Markenwiederherstellung übersteigen den Gewinn. Eine weitere Reaktion statt Aktion besteht darin, sich auf automatische oder manuelle Code-Scans zu verlassen, um Schwachstellen im vorhandenen Code zu entdecken, anstatt sich von Anfang an auf die Erstellung von sicherem Code zu konzentrieren. Leider ist das Scannen von Code keine perfekte Lösung, was bedeutet, dass je mehr Schwachstellen der Code enthält, desto größer die Wahrscheinlichkeit ist, dass bestimmte Schwachstellen übersehen werden.

Nur durch einen proaktiven Ansatz und die Zusammenarbeit mit Entwicklern, um ihnen von Anfang an bei der Erstellung von sicherem Code zu helfen, kann ein Softwareentwicklungslebenszyklus aufgebaut werden, der die Wahrscheinlichkeit, dass Code-Schwachstellen an Benutzer weitergegeben werden, erheblich verringert.

2. Verbessern Sie Ihre Fähigkeiten, ohne sie übermäßig zu korrigieren.

Wenn Sie sich entschließen, Entwicklern das für die Erstellung sicherer Codes erforderliche Wissen zu vermitteln, wählen Sie Ihre Methode mit Bedacht aus. Interne Schulungsseminare, die die Programmierarbeit unterbrechen, frustrieren sowohl Entwickler als auch Manager. Externe Kurse, die abends oder am Wochenende besucht werden müssen, sind noch weniger beliebt. Der beste Ansatz besteht darin, die Programmierkenntnisse schrittweise zu vermitteln und relevante Informationen während des Codierungsprozesses nach und nach einzuführen – im Wesentlichen geht es darum, die Fähigkeiten zu verbessern, ohne die Entwickler übermäßig abzulenken oder den Entwicklungsprozess zu verlangsamen.

3. Motivieren Sie , statt anzunehmen

Entwickler sollten die Verbesserung ihrer Sicherheitskompetenzen nicht als Strafe oder reine Plackerei betrachten. Manager müssen Entwickler motivieren, indem sie ihnen vermitteln, wie wichtig Sicherheitscodes für den Erfolg des Unternehmens sind. Ebenso wichtig ist es, ihnen zu vermitteln, dass Entwickler mit Sicherheitskompetenzen für das Unternehmen wertvoller sind und in Zukunft von besseren Karrierechancen profitieren werden.

Die Biden-Regierung begrüßt dies. Die Exekutivverordnung verstärkt die Aufmerksamkeit für Cybersicherheit und die Notwendigkeit, „Kriterien zur Bewertung der Sicherheitspraktiken von Entwicklern und Anbietern einzubeziehen und innovative Instrumente oder Methoden zu entwickeln, um die Einhaltung von Sicherheitspraktiken nachzuweisen“. Doch obwohl solche Instrumente unverzichtbar sind,reicht dies nicht aus. Kein Tool kann vollständig verhindern, dass Einzelpersonen die installierten Systeme und Tools in irgendeiner Weise ignorieren, missverstehen, missbrauchen oder auf andere Weise umgehen. Um die Sicherheit des Unternehmens zu maximieren, müssen Chief Information Security Officers den menschlichen Faktor nutzen und Entwickler dazu ermutigen, freiwillige Sicherheitsbefürworter und -praktiker zu werden.