Wo also setzt das Unternehmen den Hebel strategisch am Besten an, wenn Konzepte und Werkzeuge zur Erstellung sicherer Software prinzipiell bekannt und ausgereift sind, wie Experten immer wieder behaupten? Die Herausforderung liegt in der Umsetzung und durchdachten Anwendung der vorhandenen Technologien. „Müssten die Softwarehersteller Gewährleistungsgarantien bieten, wie in anderen Produktbereichen, wäre viel gewonnen“, so Meinel. Eine Forderung, die auch andere Experten wie der Sicherheitsguru Bruce Schneier gebetsmühlenartig vortragen.
Kein Patentrezept mit Threat Modeling möglich
Auch Garantien aller Beteiligten, inklusive der Internet Service Vendors (ISV), wären gefragt. Aber selbst dann erscheint die technische Gratwanderung kaum lösbar. Die Tücke lauert im Detail. Web Services etwa haben gleichzeitig den Vorteil und den Nachteil, dass sie sehr flexibel sind. Damit machen sie es den Entwicklern aber ziemlich schwer, die Anwendungen sicher aufzusetzen und zu konfigurieren.
Greift man nun auf den immer wieder gerne propagierten Ansatz einer modellzentrierten IT-Sicherheitsarchitektur – „Model-driven Security“ – zurück, so entwirft der Entwickler zwar die gewünschten Sicherheitseigenschaften der betreffenden Web-Services. Er muss es dann aber dem Entwicklungswerkzeug überlassen, diese Eigenschaften auf die Implementierung zu transformieren. Infolgedessen tun zahlreiche Applikationen nicht unbedingt das, was man von ihnen erwartet.
Kurzum: Das Organisationschaos ist vorprogrammiert. Und kleinere Unternehmen können sich sowieso keine aufwändig administrierte IT-Sicherheit leisten. Immerhin kann ein Blick in Best-Practice-Modelle zur Gefahrenmodellierung (Threat Modeling) gerade bei kleineren Betrieben dazu beitragen, die Sicherheitsprogrammierung und -konfigurierung einfach und überschaubar zu halten.
Um aber generell Verbesserungen in einem größeren Maßstab zu erreichen, müssten auch die Defizite in der Ausbildung beseitigt sein. Denn Inhalte wie das sichere Software Engineering sind in Deutschland an den Hochschulen kaum integriert. „Eine praxisnahe ingenieurwissenschaftliche Orientierung der Ausbildung muss stärker gefördert werden“, sagt Christoph Meinel vom Potsdamer HPI. Dort seien die Ziele der Ausbildung und Forschung heute schon auf die umfassende Beherrschung komplexer IT-Systeme ausgerichtet.
Neueste Kommentare
Noch keine Kommentare zu Teufelskreis Entwicklung: Warum Software nicht sicher ist
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.