Wer sich mit den aktuellen Trends des BSIMM13-Berichts auseinandersetzt, ist deutlich besser in der Lage, die eigenen Sicherheitsbemühungen strategisch anzugehen.

 

Das jährlich erscheinende »Building Security in Maturity Model« (besser bekannt unter dem Namen »BSIMM Report«), inzwischen in der 13. Auflage, ist das Ergebnis einer mehrjährigen Studie über in Unternehmen existierende Software-Security-Initiatives (SSIs). Als datengesteuertes Modell, das sich im Laufe der Zeit weiterentwickelt, bietet es CISOs und anderen Sicherheitsfachleuten ein Framework zum Testen, Messen und Benchmarken ihrer aktuellen Sicherheitsbemühen bei der Anwendungsentwicklung.

Und was die Sache noch praktikabler macht, ist die Tatsache, dass die Empfehlungen von Kollegen aus der eigenen Branche kommen. Die aktuelle Ausgabe des Building Security in Maturity Model (BSIMM) Reports, BSIMM13, wurde erst kürzlich von der Synopsys Software Integrity Group veröffentlicht. Über 130 Unternehmen aus acht Branchen haben Synopsys anonymisiert Informationen übermittelt, was funktioniert, was nicht funktioniert, was sich in Bezug auf Risiken und Bedrohungen verändert hat und wie die beteiligten Firmen darauf reagieren – mit dem Ziel, mehr Vertrauen in die Sicherheit der jeweiligen Software zu schaffen. Unternehmen und Sicherheitsexperten profitieren direkt von den ermittelten Daten. Unabhängig davon, ob es darum geht, den entwickelten Code sicherer zu machen oder sämtliche Komponenten der Softwarelieferkette nachzuverfolgen und so Probleme zu minimieren.

Software ist allgegenwärtig und steuert so gut wie alles. Das bietet Unternehmen eine scheinbar unbegrenzte Palette von Vorteilen. So allgegenwärtig wie die Software ist auch die Cyberkriminalität. Seit es Software gibt, sind Hacker unablässig auf der Suche nach Schwachstellen, um daraus in der einen oder anderen Weise Kapital zu schlagen und weitreichende Schäden anzurichten bis hin zur Zerschlagung ganzer Firmen. Schon allein dadurch ist und bleibt der BSIMM-Bericht relevant. Nicht alle Unternehmen setzen zwangsläufig dieselben Sicherheitsziele um. Aber die weitaus meisten profitieren von der Verwendung eines gemeinsamen Maßstabs. BSIMM dokumentiert, dass und wie sich die Möglichkeiten durch Softwarefehler Schaden anzurichten, ständig weiterentwickeln. Und wie sich die Abwehrmaßnahmen zwangsläufig mit verändern.

Frei nach dem Dichter und Philosophen John Donne gilt auch für die Art und Weise wie wir Software nutzen und wie sie uns alle miteinander verbindet: »Niemand ist eine Insel«. Deshalb nennt man das Internet schlicht »das Netz« – Milliarden digitaler Verbindungen, die aus Code-Strängen bestehen und alles von der Elektrizität bis hin zu Ampelanlagen, Versorgungseinrichtungen, Finanzen, Bildung, Kommunikation, Unterhaltung steuern – eine Liste, die sich endlos fortsetzen ließe.

 

Über BSIMM13

Angesichts dessen wie wir alle vernetzt sind, sollte die »Gemeinschaft der Guten« mindestens so eng zusammenarbeiten wie es die »Bösen« schon seit Langem tun. Das Ziel von BSIMM ist nach wie vor das gleiche wie bei seiner Einführung im Jahr 2008: die Zusammenarbeit innerhalb der gesetzestreuen Gemeinschaft zu ermöglichen, um sich gegenseitig beim Aufbau von Vertrauen in Software zu unterstützen. Dabei ist BSIMM ein rein deskriptives Modell. Es dokumentiert, was andere Unternehmen im Rahmen ihrer eigenen Software-Sicherheitsinitiativen (SSI) tun. Der Bericht fungiert dementsprechend als kostenfreie »Roadmap«, die Unternehmen dabei unterstützt, ihre Softwaresicherheit zu verbessern. Die mehr als 130 teilnehmenden Unternehmen kommen aus den Bereichen Cloud, Finanzdienstleistungen, Finanztechnologie, unabhängige Softwareanbieter, Versicherungen, Internet der Dinge (IoT), Gesundheitswesen und Technologie. Dazu gehören annähernd 11.900 Sicherheitsexperten, die mehr als 410.000 Entwickler bei der Softwaresicherheit von 145.000 Anwendungen unterstützen.

Dabei entscheidet jedes Unternehmen selbst, wie und in welchem Tempo es auf seinem Weg zur Reife am besten vorankommt. Der Sinn einer Roadmap besteht gerade darin, unterschiedliche Wege zum Ziel aufzuzeigen. Sobald ein Unternehmen ermittelt hat, wo es selbst im Vergleich zu anderen steht, kann es einen Plan erstellen, welche Bereiche sich mithilfe welcher Aktivitäten verbessern oder sich auf einen größeren Teil des Software-Portfolios skalieren lassen. Aber jedes Unternehmen braucht eine SSI, die zum eigenen Risikoprofil und den eigenen Prioritäten passt.

Nichts ist perfekt, auch Software nicht. Täglich führen uns die Schlagzeilen vor Augen, wozu Hacker in der Lage sind: sie nutzen Designfehler, Bugs und andere Mängel in einer Software aus, stehlen geistiges Eigentum, greifen personenbezogene Daten von Mitarbeitern und Kunden ab, plündern die Bankkonten von Unternehmen, untergraben die physische Sicherheit eines Gebäudes und legen den Betrieb durch Ransomware-Angriffe lahm. Unsichere Software birgt mithin ein hohes geschäftliches Risiko – möglicherweise sogar ein existenzielles. Niemand kommt umhin dafür zu sorgen, dass eine Software ausreichend sicher ist, so dass Sie selbst und Ihre Kunden dieser Software vertrauen können.

 

Sicherheit der Lieferketten hat Priorität

Wie schon erwähnt, spiegelt jeder BSIMM-Report Trends innerhalb der Softwaresicherheit wider, die Antworten auf die Entwicklung der Cyberkriminalität liefern. Das gilt auch für den aktuellen BSIMM13-Bericht, der sich insbesondere auf Open-Source-Software und Lieferkettensicherheit konzentriert. Noch vor ein paar Jahren waren das Randthemen in der Sicherheitscommunity. Jetzt haben sie sowohl im privaten wie dem öffentlichen Sektor oberste Priorität. Sie sind sogar Schlüsselelemente in der Executive Order on Improving the Nation’s Cyber Security vom Mai 2021 von US-Präsident Biden und in weiteren staatlichen Leitlinien, die als Reaktion darauf veröffentlicht wurden.

Einer der Gründe ist die Tatsache, dass Software von Dritten, Open Source und kommerzielle Software, in so gut wie jeder Codebasis enthalten ist. Und mehr noch – sie macht bereits den überwiegenden Teil aus (das belegt der Open Source Security and Risk Analysis (OSSRA) von Synopsys).

Ein ermutigender Trend: BSIMM13 konstatiert, dass 73% der befragten Cybersicherheitsexperten ihre Bemühungen um die Sicherheit ihrer Lieferketten intensiviert haben. Eine Möglichkeit, das zu tun, ist der Einsatz eines automatisierten Software Composition Analysis (SCA) Tools. Diese finden nicht nur Open-Source-Komponenten in einer Codebasis, sondern auch bekannte Fehler und potenzielle Lizenzkonflikte, die mit deren Nutzung verbunden sind.

Kein Unternehmen sollte zudem darauf verzichten, eine Software Bill of Materials oder Software-Stückliste (SBOM) zu erstellen und zu pflegen. Sie identifiziert und inventarisiert Software von Drittanbietern in einer Codebasis. Werden in einer der betreffenden Komponenten neue Schwachstellen gefunden, verlieren Unternehmen keine Zeit und können sofort reagieren. Laut BSIMM13 ist die Zahl der Organisationen, die SBOMs erstellen, um 30 % gestiegen. Ein deutliches Zeichen für das wachsende Bewusstsein hinsichtlich der Risiken innerhalb der Softwarelieferkette. Dazu kommt, wer in Zukunft Software an (amerikanische) Bundesbehörden verkaufen will, eine SBOM nachweisen muss. Viele Mitglieder der BSIMM-Community fordern zudem, dass Softwareanbieter Sicherheitsstandards einhalten. Die Aktivitäten »Kommunikation von Standards an Anbieter« und »Sicherstellung kompatibler Anbieterrichtlinien« sind um 46 % beziehungsweise 56 % gestiegen.

Interessanterweise verzeichnen aber nicht alle Aktivitäten im Zusammenhang mit dem Risikomanagement der Softwarelieferketten einen Zuwachs. Die Aktivität »Schulungen für Anbieter und ausgelagerte Mitarbeiter anbieten« ist beispielsweise um 30 % zurückgegangen. Seit den Anfängen von BSIMM hatte diese Aktivität stetig dazu gewonnen. Man darf allerdings vermuten, dass nicht die Schulungen selbst rückläufig sind, sondern dass Unternehmen ihren Anbietern Schulungsrichtlinien vorgeben, anstatt diese selbst durchzuführen.

 

Fünf BSIMM-Softwaresicherheitstrends

• Der Wechsel von »Shift Left« zu »Shift Everywhere« geht weiter. Das Mantra »Shift Left«, ein Begriff, den der BSIMM-Report in seinen Anfangsjahren geprägt hatte, sollte Unternehmen ermutigen, früher im Softwareentwicklungszyklus (SDLC) mit ihren Sicherheitstests zu beginnen. Das war aber nie so zu verstehen, dass Unternehmen sich auf »Shift Left« beschränken sollten. »Was wir wirklich gemeint haben, ist, dass eine Aktivität zur Kontrolle der Sicherheit so schnell wie möglich und so genau wie möglich durchgeführt werden sollte, sobald die Artefakte, von denen diese Aktivität abhängt, zur Verfügung stehen«, erläutert Sammy Migues, Principal Scientist bei Synopsys und seit Beginn Co-Autor des BSIMM-Berichts. Anders ausgedrückt heißt das, den richtigen Test zur richtigen Zeit mit Hilfe von automatisierten Tools wie intelligenter Orchestrierung durchzuführen. Intelligente Orchestrierung erlaubt es, während des gesamten SDLC Fehler kontinuierlich zu erkennen. Etwas, das manuell nicht zu bewerkstelligen wäre.
• Integration von Sicherheit in Entwickler-Toolchains. So können Sicherheitstests mit der Entwicklungsgeschwindigkeit Schritt halten und »Shift Everywhere« erleichtern.
• Umstellung auf weniger umfangreiche, automatisierte Prüfungen im SDLC. Dies ist eine weitere Komponente des »Shift Everywhere«, die Entwicklern hilft, Fehler zu finden und zu beheben, wenn es am wenigsten Zeit und Geld kostet. Das Open Web Application Security Project (OWASP) hat vor einigen Jahren unter Berufung auf das National Institute of Standards and Technology, IBM und Gartner berichtet, dass es 30 bis 60 Mal weniger kosten kann, eine Schwachstelle in der Anwendungssicherheit während der Designphase (also zu Beginn des SDLC) zu beheben als während der Produktion (am Ende).
• Automatisierte Durchsetzung von Codierungsstandards. Eine Art automatisierter Leitplanke – Policy-as-Code – gewährleistet, dass der einzige Weg, Code zu schreiben, der sichere Weg ist. Sicherheit beschränkt sich nicht darauf Bugs zu beheben, sondern sie zu vermeiden. Laut BSIMM13 hat die Sicherheitsaktivität »Feedback von Daten aus dem Software-Lebenszyklus zurück in die Richtlinien geben« um mehr als 80 % zugenommen. Die BSIMM-Teilnehmer aktualisieren demnach ihre Richtlinien auf der Grundlage ihrer Fehlerbeseitigung.
• Orchestrierung bei der Containersicherheit. Dies bezieht sich auf den Einsatz von Automatisierung und intelligenter Orchestrierung, um Anwendungen in Containern auf Fehlkonfiguration und Nichteinhaltung von Richtlinien zu überwachen. BSIMM13 beobachtet einen Anstieg von fast 30 % bei der Aktivität »Nutzung der Orchestrierung für Container und virtualisierte Umgebungen«.

 

Eine AppSec-Kultur mit Security Champions aufbauen

Eine SSI entsteht oder gelingt nicht einfach so. Es braucht Führung und ein Team von unterschiedlichen Mitwirkenden. Dazu zählen nicht nur Sicherheitsexperten, sondern Entwickler, Tester, Architekten und DevOps-Ingenieure, die zu »Software Security Champions« werden können. So lassen sich die Sicherheitsanstrengungen skalieren, ohne die Gruppe selbst erweitern zu müssen.

Im BSIMM-Bericht heißt es: »Security Champions müssen keine Sicherheitsprofis sein. Sie sollten lediglich als das Sicherheitsgewissen des Teams fungieren, indem sie Augen und Ohren für potenzielle Probleme offenhalten und diese aufdecken, sobald sie identifiziert werden. Die »Jiminy Crickets« der Softwaresicherheit – wenn Sie so wollen, hohe Hüter des Wissens über richtig und falsch – weisen den Weg.«

Der Wert von Security-Champions-Programmen manifestiert sich in einem anhaltenden Trend: Im Durchschnitt schneiden Unternehmen mit solchen Programmen bei den BSIMM-Bewertungen besser ab als solche ohne. BSIMM13 hat ergeben, dass der Unterschied aktuell 35 % beträgt (!). Auch die Reife der Softwaresicherheit kommt nicht über Nacht. Es ist eine Reise, kein einzelnes Ereignis. BSIMM trägt dazu bei, die Reise anzutreten und schneller ans gewünschte Ziel zu kommen.

Gunnar Braun, Technical Account Manager for Application Security Solutions at Synopsys

 

Der vollständige Bericht steht kostenlos und offen unter der Creative Commons Attribution-ShareAlike 3.0-Lizenz zur Verfügung.