Sicher sein oder sicher fühlen? – Microsoft Security Development Lifecycle (SDL)

„Wir sind sicher!“ heißt es oftmals vollmundig aus der Marketingabteilung. Aber was gehört eigentlich dazu, sicher zu sein. Sich sicher zu fühlen? Das Gefühl allein hilft zwar dabei, besser zu schlafen, aber spätestens bei Schlagzeilen wie diesen

clip_image002

kommen selbst den Hartgesottenen Bedenken. Security basiert auf harten Fakten, nicht auf Gefühlen oder Vermutungen.

Eigentlich ist das wie im Film (oder auch wie im realen Leben): Die Guten haben es immer schwer. Warum? Weil Sie jederzeit (und) an alles denken müssen. Der Angreifer kann sich die Zeit, zu der er zuschlägt und eine bestimmte Schwachstelle gezielt aussuchen. Oder auch einen Bereich, wo er sich gut auskennt. Er muss nicht alle Probleme der anderen Seite kennen oder aufdecken. Sehen Sie, worauf ich hinaus will? Die Verteidigung ist nur so gut wie das schwächste Glied der Kette. Außerdem haben die „Verteidiger“ noch ein weiteres Problem: Sie können sich nur gegen bekannte Angriffe verteidigen. Der Angreifer (der – im Gegenteil zu Ihnen - übrigens keinerlei Regeln unterworfen ist) sucht die neuen Lücken (Zero-Day attacks)

Dimitri Alperowitch (VP Thread Research McAfee) hat einmal gesagt: „I divide the entire set of Fortune Global 2000 firms into two categories: those that know they’ve been compromised and those that don’t yet know.”

Während anfangs noch zerstörerische Interessen im Vordergrund standen, geht es nun um Geld und Einfluss. Der Handel mit Adressen, Kreditkarteninformationen und Bank Accounts floriert - nicht zuletzt auch wegen unsicherer Software!

Die Menge der Schwachstellen in Software hat sich übrigens schon lange weg vom Betriebssystem in Richtung der Anwendungen verschoben.

Was bedeutet das für Ihre Software? Was kann man dagegen tun? SDL – Security Development Lifecycle ist das Stichwort, welches im Gegensatz zu ALM (Application Development Lifecycle) noch nicht so bekannt ist. Security muss sich durch die Softwareentwicklung ziehen wie ein roter Faden. Security kann man nicht oder nur mit gewaltigem Aufwand nachträglich hinzufügen. Security Aspekte müssen ständig neu überdacht und mit neuen Herausforderungen fertig werden.

Start secure – stay secure – confirm that you are secure

Bill Gates hat schon im Jahre 2002 darauf hingewiesen (Trustworthy Computing):

“Sicherheit ist eine der größten und wichtigsten Aufgaben, die unsere Industrie jemals angehen musste. Es geht nicht nur darum, einfach ein paar Sicherheitslöcher zu schließen und weiterzumachen. Die negativen Auswirkungen von Viren und Würmern auf ein akzeptables Niveau herunterzuschrauben erfordert ein fundamental neues Denken über Softwarequalität, ständige Verbesserungen bei Tools und Prozessen, und anhaltende Investitionen in widerstandsfähige neue Sicherheitstechnologien, die bösartigen oder zerstörerischen Code blocken, bevor Schaden entsteht [...]”

Das geht auch ins Geld, denn die Kosten für die Beseitigung von Mängeln im Nachhinein sind hundertmal größer als das Aufspüren und Beseitigen zur Design-Zeit, was übrigens keine Mehrkosten beinhaltet (Quelle: IDC and IBM Systems Sciences Institute).

Im Gegenteil, wenn Sicherheit bereits im Design implementiert wird, dann sinken die Kosten, weil solche Software nicht nur sicherer, sondern auch stabiler ist und viel weniger nachgearbeitet werden muss. Außerdem ist die Software vertrauenswürdiger, weil weniger Sicherheitslücken im Nachhinein gefixt werden müssen und darüber hinaus auch Datenschutz-Bestimmungen berücksichtigt werden.

Der Security Cluster von PSfD unterstützt Sie ganzheitlich dabei, einen geeigneten Ansatz zu finden und den Secure Development Lifecycle in Ihrem Software Development Prozess einzuführen oder zu verbessern, so dass Sie das Prinzip „Sicherheit by Design“ leben können.

Verfügbare Services und Workshops:         

  • Microsoft Security Development Lifecycle (SDL) - Train the Trainer
  • For Decision makers: Why adopt SDL?
  • Writing Secure Code – Secure Code Implementation
  • Building Secure Systems – Threat Modeling
  • Security Verification – Security Testing
  • Project Management: Security Assessment
  • Workshop: Include SDL to the ALM
  • Workshop: Secure Coding Requirements
  • PKI Code Signing
  • Secure Client / Server Design
  • PKI Infrastructure Planning and Implementation

Sie können natürlich auswählen, welchen Workshop Sie benötigen. Wir erstellen ihnen gerne ein modulares Angebot, um die Themen mit der entsprechenden Priorität gezielt anzugehen.

Die Regeln für gute und sichere Software gibt es schon lange, wir können ihnen zeigen wie man sie umsetzten kann.

Application Compatibility Cookbook, Application Quality Cookbook

Wir sind gerüstet für die Erstellung sicherer Software. Sind Sie es auch?