Mit Genehmigung von CIO.com erneut veröffentlicht.

Dass die Bedrohungen aus dem Internet immer weiter zunehmen, ist längst bekannt. Laut dem Internet Crime Complaint Center des FBI stiegen die Kosten für gemeldete Cyberkriminalität in den USA im letzten Jahr um 22 % auf mehr als 12,5 Milliarden US-Dollar. Ein großes Problem sind Schwachstellen, die durch traditionelle Ansätze bei der Programmierung und Sicherheit in der Software erhalten geblieben sind. Um diesen Risiken entgegenzuwirken, gibt es mittlerweile eine gezielte Initiative, Software zu entwickeln, die von Grund auf sicher gestaltet (Secure by Design) ist. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat beispielsweise eine Reihe von Maßnahmen skizziert, die Anbieter ergreifen können, um nachzuweisen, dass sie die „Secure by Design“-Prinzipien anwenden.

Ohne durchsetzbare Standards und klare Messgrößen können IT- und Sicherheitsverantwortliche schlecht beurteilen, ob und wie Anbieter den Secure-by-Design-Ansatz tatsächlich umsetzen. Folgende Punkten sollten Sie genauer betrachten:

Integration von „Secure by Design“-Praktiken in Risikobewertungen

Die Risikobewertung von Anbietern ist bei Unternehmen ein bewährtes Verfahren, um potenzielle Gefahren im Zusammenhang mit den Produkten und Aktivitäten eines Lieferanten zu identifizieren und zu bewerten. IT- und Sicherheitsverantwortliche können diesen Prozess nutzen, um sich auf Secure-by-Design-Prinzipien und -Praktiken zu konzentrieren, sagt Michael Riemer, Field Chief Information Security Officer bei Ivanti.

„Für uns als Softwarehersteller bedeutet das, dass wir die volle Verantwortung für unsere eigenen Produkte übernehmen“, sagt Michael Riemer. „Man betrachtet die gesamte Architektur der Lösung und berücksichtigt die Sicherheit in allen Bereichen, wie Architekturdesign, Speicherung, Konnektivität, Nutzung usw.“

Im Rahmen der Risikobewertung sollten Unternehmen auch erwägen, einen SOC-2-Typ-2-Report anzufordern. Diese Art der Bewertung schafft mehr Vertrauen in die Art und Weise,wie ein Anbieter Kundendaten und -informationen schützt. Es handelt sich um ein externes Cybersicherheitsaudit, bei dem die internen Sicherheitskontrollen und -praktiken des Anbieters über einen längeren Zeitraum hinweg bewertet werden.

Hier sind einige zentrale Fragen, die jeder Anbieter beantworten können sollte:

  • Wie häufig führen Sie Penetrationstests durch?
  • Welche Arten von Penetrationstests werden durchgeführt?
  • Führen Sie sowohl statische als auch dynamische Code-Analysen durch?

Bewertung der Kodierungspraktiken

„Traditionelle Kodierungspraktiken folgen oft einem sequenziellen Ansatz: Ein Team arbeitet an einem Modul und übergibt es anschließend an das nächste Team. Dieser Ansatz führt jedoch dazu, dass Schwachstellen in der Codebasis unentdeckt bleiben können“, sagt Michael Riemer von Ivanti.  „Die Umstrukturierung von Teams in „Pods“ oder Gruppen, mit jeweils eigenen Sicherheitsarchitekten, ermöglicht es, Schwachstellen von Anfang an zu identifizieren und zu beseitigen. Für Ivanti war dies eine große Veränderung“, berichtet Michael Riemer. „Die Zulieferer sollten in der Lage sein, diese organisatorischen Veränderungen und neuen Praktiken nachzuweisen.“

Bewertung der „Secure by Design“-Transparenz

Anbieter sollten ihre „Secure by Design“-Ziele transparent kommunizieren und belegen können, dass sie regelmäßig über entsprechende Metriken reporten oder dies in Zukunft planen. Gleichzeitig sollten Kunden die Fortschritte des Anbieters über dessen Softwaremodule tracken können.

„Wir haben uns konkrete Ziele gesetzt, eine Ausgangsbasis und Messgrößen festgelegt und haben seit Oktober 2024 vierteljährliche Aktualisierungen dieser Messgrößen veröffentlichen“, sagt Michael Riemer. „Wir verpflichten uns, unseren Fortschritt im Bereich Secure by Design konsequent zu tracken und voranzutreiben. Diese Metriken werden aufzeigen, welche Softwaremodule wir analysiert haben und wie gründlich diese Analysen durchgeführt wurden, um sicherheitsrelevante Kodierungspraktiken zu erkennen und zu beheben.“

Fazit

Unternehmens- und IT-Führungskräfte können die "Secure by Design"-Prinzipien nutzen, um die Fortschritte ihrer Softwarelieferanten bei der Entwicklung von inhärent sicherem Code zu bewerten. Durch ‚Secure by Design‘ können diese Führungskräfte Geschäftsrisiken effektiv verringern.