Sichere Softwareentwicklung heisst, dass alle das Ziel verstehen und am gleichen Strick ziehen. Diese Orchestrierung von Personen und Organisationen ist eine besondere Herausforderung.
«Software regiert die Welt» lautet ein geflügeltes Wort in der IT. Müsste es heute nicht heissen «unsichere Software bedroht die Welt»? Muss man sie heute als generell unsicher betrachten? «Diese Einstellung ist auf jeden Fall nicht verkehrt. In der IT heisst der Fachbegriff ‹Zero Trust› – englisch für null Vertrauen», erklärt Daniel Scherrer, Chief Software Architect bei Abraxas.
Misstrauen als Massgabe
Vor rund einem Jahr hat die US-Regierung dieses Misstrauen in eine Direktive gegossen: «Sie spiegelt einen grundlegenden Wandel in unserer Denkweise wider: von der Reaktion auf Vorfälle hin zur Prävention», erklärte das Weisse Haus. Bei Abraxas war auch Prävention schon vorher ein Thema. Dazu gehören nicht nur bekannte Abwehrmassnahmen, die Abraxas einsetzt, wie der allgemeine Netzwerkschutz oder ein Log-in, oder optional anbietet, wie Endpoint Protection (Schutz der Endgeräte) und ein Security Operations Center (Security-Team, welches rund um die Uhr Cyberangriffe erkennt, analysiert und behebt).
Sichere Softwareentwicklung ist wichtiger denn je. Unser oberstes Ziel ist der Schutz unserer Kunden und deren Daten.
Sicherheit ist ein Prozess
Weniger bekannt ist, dass Software innert Sekunden unsicher werden kann: «Eine Lösung, die heute so sicher ist, dass keine Schwachstellen bekannt sind, ist so aktuell wie das Datum auf der Tageszeitung. Die Überprüfung der Sicherheit muss permanent erfolgen und ist nie abgeschlossen», erklärt Scherrer, der den Aufbau von Softwaresystemen entwirft und grundlegende Entscheidungen über das Zusammenspiel von Komponenten trifft. Sichere Software – als Lösung – entsteht aus der Kombination von sicherem Code, sicherer Konfiguration und sicheren Komponenten (Firewalls, Netzwerk etc.). Und das ist auch einer der Gründe, weshalb die Security nicht einfach für immer stabil ist und daher permanent beurteilt werden muss, weil sich gerade die Komponenten und die Konfiguration ändern können, auch ohne dass der Code angepasst wurde.
Dieser Prozess dauert von der ersten Programmier-Idee bis zum «Tod» der Software nach x Jahren und wird unter dem Terminus «sichere Softwareentwicklung» umgesetzt. Dabei müssen unterschiedliche Fachleute, technische Hilfsmittel und Richtlinien zusammenspielen, denn die Gefahren lauern überall.
Security ist nicht bloss Teil eines Projekts oder Produkts. Sondern muss vom Anfang bis zum Schluss als Prozess mitgedacht werden – dann gibt es auch eine sichere Software.
Ein Beispiel sind «Software-Bibliotheken», die in jeder Software genutzt werden, weil man nicht jedes Detail neu erfinden muss. Aber, so erklärt Peter Gassmann, Leiter der Softwareentwicklung und GL-Mitglied bei Abraxas, auch hier ist Vorsicht geboten: «Es besteht beispielsweise die Gefahr, dass man eine bekannte Open-Source-Bibliothek verwendet, in welcher eine neue Schwachstelle identifiziert wird. Oft war sie schon lange existent, ist aber niemandem aufgefallen.»
Wöchentlicher Wissensaustausch
Um möglichst sichere Software bauen zu können, ist Abraxas ISO-27001-zertifiziert, nach dem weltweiten Standard für Informationssicherheit. Aber das genügt nicht. Zu den Massnahmen bei Abraxas gehören neben internen Richtlinien auch kontinuierliche, automatisierte Schwachstellenanalysen. Die Auswertungen fliessen in die Weiterentwicklung ein. «Regelmässig lassen wir unsere Arbeit von externen Experten beurteilen», sagt Scherrer. Eine interne Expertengruppe, die «Software Security Group», thematisiert wöchentlich die neuesten Erkenntnisse und die nötigen Massnahmen. «Wir investieren zudem ins Know-how: Alleine 2021 haben 40 Softwareentwickler eine Security-Weiterbildung erhalten», erläutert Gassmann. «Wir sind in einem Wettrüsten, denn die Cyberkriminalität ist eine sehr grosse Industrie und nur mit entsprechendem Aufwand kann man dagegenhalten.» Aufwand? Was bedeutet dies kostenseitig? «Security und Kosten befanden sich schon immer in einem unangenehmen Spannungsfeld. Sicherheit fordert man oft kaum – man erwartet sie einfach. Wir wollen diese Erwartungen mit Automatisierung und institutionalisierten menschlichen Eingriffen erfüllen können.» Bis anhin gelang dies. Das Misstrauen von Abraxas in die eigene Software hat sich für die Kunden ausbezahlt.
Abraxas-Experten für sichere Softwareentwicklung
