Do´s und Don´ts für den Aufbau einer umfassenden IT-Sicherheitsstruktur

IoT gewinnt in unserer Gesellschaft immer mehr an Bedeutung. Aktuellen Untersuchungen zu Folge sind mittlerweile rund 4,9 Milliarden angeschlossene Geräte im Einsatz. Bis 2020 wird diese Zahl auf geschätzte 25 Milliarden steigefoto veracode HQ-304n. Die Sicherheit im IoT ist allerdings ein Problemfeld. In Zeiten von BYOD und IoT stehen Unternehmen täglich vor der Herausforderung, sich vor Cyberattacken zu schützen – ohne ihre Mitarbeiter in ihrer täglichen Arbeit zu sehr einzuschränken. Gerade die damit verbundenen Anwendungen stellen dabei oft ein großes Sicherheitsrisiko dar. Wie aber sollte ein sicherheitsorientierter Arbeitsplatz aussehen? Wie lässt es sich an einem solchen Arbeitsplatz arbeiten? Es ist immer eine Herausforderung, büroweite Änderungen einzuführen. Die Ergebnisse sind allerdings den Aufwand wert.

Arved Graf von Stackelberg, Director Central Europe von Veracode beschreibt Do´s und Don´ts für ein sicherheitsbewusstes Arbeiten und Punkte, die in Unternehmen verbessert werden könnten:

Die Do´s: Sicherheitsbewusste Unternehmen …

  1. … verstehen den Wert von Coaching und Feedback.

Irren ist menschlich. Auch wenn ein Team komplett hinter Änderungen oder gar einer komplett neu implementierten Technologie steht, können Fehler passieren. Bekämpfen lassen sich diese am besten mit effektivem Coaching. Was effektiv heißt, kommt dabei weitgehend auf die Situation und die einzelnen Mitarbeiter an. Die meisten Entwickler und Ingenieure schätzen direktes Feedback: Es macht also durchaus Sinn ihnen zu sagen, was falsch gelaufen ist und wie das Problem behoben werden kann, ohne dabei zu sehr auszuholen. Man sollte konstruktiv sein und das Gespräch als Möglichkeit zum Lernen betrachten. So haben alle Beteiligten etwas davon.

  1. … und stellen sicher, dass die Angestellten das auch tun.

Jeder geht mit Kritik anders um. Softwareentwicklung ist kreative Arbeit – zwar nicht vergleichbar mit Malerei oder Bildhauerei, aber dennoch kreativ. Die Tatsache, dass also einige Mitarbeiter persönlich involviert sind, kann ein effektives Coaching heikel gestalten, wenn man nicht vorsichtig vorgeht. Es sollte klar sein, dass Kritik keinen persönlichen Angriff darstellt. Deshalb kann es sinnvoll sein, Mitarbeiter zu bitten, ausgesprochene Kritik zu wiederholen. Außerdem wird Kritik besser aufgenommen, wenn sie stückchenweise serviert wird. So haben Angestellte Zeit das Gehörte zu verarbeiten und können einen Dialog starten.

  1. … setzen den Fokus bewusst auf Sicherheit:

Anwendungssicherheit sollte nicht nur ein beliebiger Punkt auf der Liste sein, der nach und nach abgehakt wird. Es ist ein Konzept, das in jeder Zeile des Codes berücksichtigt werden und auch bei jeder Entscheidung eine Rolle spielen muss. Eine Sicherheitsstruktur aufzubauen bedeutet, das Thema Sicherheit als oberste Priorität zu behandeln; die so aufgebaute Struktur aufrechtzuerhalten heißt, diesen Fokus auf lange Sicht beizubehalten. Wie bei jeder erlernten Fähigkeit ist der beste Weg zur Festigung die Praxis. Mit der Zeit wird das Thema Sicherheit automatisch in Gespräche und Entscheidungsprozesse einfließen. Wenn das der Fall ist, ist ein Unternehmen auf dem richtigen Weg.

Die Don´ts: Weniger sicherheitsbewusste Unternehmensstrukturen …

  1. … verfolgen einen (eher) reaktiven Ansatz:

Natürlich muss ein Unternehmen auf Sicherheitslücken und -Probleme reagieren, wenn sie auftreten. Wird allerdings immer nur reagiert, dann werden Probleme bekämpft, die auf längere Sicht vermeidbar wären. Ein Vergleich: Wäre ein Softwareprodukt ein Auto, dann würden eine ständige Wartung, Ölwechsel und Reifendruckkontrolle zu einem sicheren Fahren beitragen. Ausschließlich auf Probleme zu reagieren, hieße dagegen dem Fahrzeug jegliche Wartung und Pflege zu verweigern und sich dann zu wundern, wenn ein neuer Motor her muss. Sicherheitsstrukturen müssen von Grund auf aufgebaut und stetig getestet werden. Dabei sollten aktuelle Sicherheitsthemen nicht aus den Augen verloren werden. Andernfalls können die Konsequenzen schlimmer ausfallen, als sie müssten.

  1. … ignorieren Trainingskonzepte:

Ein gutes Trainingskonzept ist sehr wichtig und häufig die Lösung für eine Vielzahl von Problemen – besonders wenn neue Probleme (oder Variationen von Problemen) auf scheinbar wöchentlicher Basis auftauchen. Mitarbeiter auf bestimmte Mängel und Attacken zu trainieren ist wichtig, ja – aber lange nicht ausreichend. Stattdessen sollten Unternehmen ihre Mitarbeiter sowohl konzeptionell als auch auf bestimmte Angriffe ausbilden.

  1. … vermeiden fachkundige Beratung:

Einen Experten an Bord zu holen, ist eine der besten Entscheidungen, die ein Unternehmen treffen kann – egal, ob es um allgemeine Beratung, Hilfestellung bei einem neuen Projekt oder der Implementierung einer neuen Sicherheitsstruktur geht: Experten liefern einen anderen Blickwinkel, ohne die Sicherheit aus dem Blick zu verlieren. Wenn die Implementierung einer Sicherheitsstruktur noch nicht umgesetzt ist, macht es Sinn, Experten von Anfang an mit einzubeziehen. Es ist immer besser einen solchen Wandel von Beginn an unter professioneller Anleitung zu vollziehen. Im Nachhinein ist es oft schwierig Fehler zu beheben, denn: wo fängt man an?

Der Blick in die Zukunft

Es versteht sich von selbst, dass Sicherheit wichtig ist. Wie ein Unternehmen diese Sicherheit umsetzt ist ebenso kritisch. Auch wenn der Wille da und das Personal völlig mit an Bord ist, kann die falsche Perspektive die Umsetzung einer echten Veränderung schwer machen – oder gar verhindern.

»Es ist schwer, nicht IoT-begeistert zu sein. Das bedeutet aber nicht, dass deshalb die Sicherheit geopfert werden muss«, sagt Arved Graf von Stackeberg, Director Central Europe bei Veracode. »Wir müssen das Gesamtpaket betrachten und sicherstellen, dass die Geräte, sowie deren Web- sowie Mobile-Anwendungen und Back-End-Cloud-Services, sicher sind – angefangen bei deren Entwicklung.«

Anwendungen sollten schon im Anfangsstadium, bei der Entwicklung und über den gesamten Entwicklungsprozess hinweg auf mögliche Schwachstellen geprüft werden. Entscheidend sind die unterschiedlichen Analysetechniken – sowohl statische und dynamische Analysen des Binär-Codes, als auch verhaltensbasierte Analysen und Analysen der Software-Zusammensetzung sollten durchgeführt werden. Je früher Angriffsrisiken erkannt werden, desto kostengünstiger und sicherer wird der Entwicklungsprozess. Eine SaaS-basierte Plattform, die mehrere Analysetechnologien umfasst und diese über eine einzige Plattform verfügbar macht, ist eine gute Lösung. So können Unternehmen das Angriffsrisiko auf der Anwendungsebene auch im tatsächlichen Betrieb reduzieren. Zudem schafft ein SaaS-Ansatz die notwenige Skalierbarkeit um wirklich alle Anwendungen im Unternehmen zu testen. Gleichzeitig werden die notwendige Expertise und das fehlende Sicherheits-Know-how zur Verfügung gestellt, um wichtige Prozesse einzuführen und ein schnelles Beheben von Fehlern zu ermöglichen.