iLLUSTRATION aBSMEIER FOTO FREEPIK

Die Anforderungen an die Cybersecurity waren nie höher. Es reicht daher nicht mehr aus, die Anwendungssicherheit als notwendiges Übel abzuhaken und irgendwo zwischen Entwicklung und Deployment anzusiedeln – Unternehmen brauchen eine Security-by-Design-Strategie. Cycode, der Pionier im Bereich Application Security Posture Management (ASPM), nennt die vier maßgeblichen Stufen auf dem Weg in den Sicherheitsolymp.

Der EU Cyber Resilience Act (CRA) und die EU Product Liability Directive, unter die mittlerweile auch Software fällt, zwingen Unternehmen, Anwendungssicherheit zur höchsten Priorität zu machen. Ein Security-by-Design-Ansatz ist somit kein Nice-to-have mehr, sondern ein Must-have. Das gelingt am besten in vier Schritten, wie Cycode im Folgenden zeigt:

Anwendungssicherheit als Grundprinzip definieren

Die Verantwortung für die Application Security (AppSec) allein auf die Schultern der Entwickler abzuladen, ist längst nicht mehr gangbar. Zeit- und Anforderungsdruck sind in Zeiten sich ständig verändernder Märkte enorm hoch, was die Entwicklungsabteilung oft dazu zwingt, den Sicherheitsaspekt stärker zu vernachlässigen als ihr lieb ist. Unternehmen müssen die Anwendungssicherheit daher als Grundprinzip festlegen. Das erfordert einen kulturellen Wandel, der nicht nur den Entwicklern mehr Sorgfaltspflicht vorschreibt, sondern auch die Anforderungen an die anderen Abteilungen verändert. Möglichst schnell und viele neue Funktionen zu erhalten, darf nicht mehr oberste Prämisse bei der Produktion von Software sein. Das ist das oberste Gebot eines Security-by-Design-Ansatzes: an erster Stelle steht AppSec.

Cross-Team-Kollaboration etablieren

Der zweite Schritt zu Security by Design ist ebenfalls in der Unternehmenskultur zu verorten. Während viele Abteilungen zentralisiert arbeiten, sind Entwicklerteams oft die verteiltesten überhaupt: Beschäftigt ein Unternehmen 100 Entwickler kommt es nicht selten vor, dass sie in 20 oder 30 verschiedenen Teams arbeiten. Es ist daher unabdingbar, dass die Cross-Team-Kollaboration sowie die abteilungs- und teamübergreifende Kommunikation einwandfrei funktionieren. Silos führen zu Fehlern und je später sie im Software Development Lifecycle (SDLC) entdeckt werden, desto teurer und aufwendiger ist es, sie zu beheben.

Compliance-Monitoring aufbauen und automatisieren

Um Security by Design erfolgreich umzusetzen, benötigen Unternehmen auch passende Richtlinien. Es ist ein hehrer Wunsch, Anwendungssicherheit zum Fundament des SDLC zu machen. Doch erst Compliance-Vorgaben und die möglichst automatisierte Überwachung, ob alle Stakeholder sie auch über den gesamten Prozess vom Schreiben der ersten Code-Zeile bis zum Live-Betrieb einhalten, ist essenziell. Entsprechende Richtlinien aufzustellen, sollte ein gemeinsames Bestreben der beteiligten Abteilungen sein. Dafür sind einerseits eine funktionale Kommunikation und die teamübergreifende Kollaborationsbereitschaft Grundvoraussetzung. Andererseits müssen die Stakeholder auch über die aktuell geltenden gesetzlichen Regelungen bestens Bescheid wissen.

Einblicke in die Sicherheitslage in Echtzeit erhalten

Wie es um die Anwendungssicherheit bestellt ist, können Unternehmen nur einschätzen, wenn sie ein komplettes Bild bekommen – und zwar bestenfalls in Echtzeit. Obwohl Security by Design in erster Linie einen kulturellen und regulatorischen Hintergrund hat, benötigen Unternehmen Sicherheitssoftware, um den Ansatz in die Praxis umzusetzen. Doch genau hier gibt es oft ein ganz anderes Problem: Es sind oft schon zu viele Tools im Einsatz, die unabhängig voneinander betrieben und betrachtet werden. Eine ASPM (Application Security Posture Management)-Lösung hilft dabei, diese zusammenzuführen. Sie zeigt beispielsweise, welche Tools bereits im Einsatz sind und stellt fehlende Funktionalität bereit. Gleichzeitig laufen in einer ASPM-Plattform alle relevanten Informationen in Echtzeit zusammen. Dadurch gelingt es Unternehmen leichter, Schwachstellen im Code nicht nur zu identifizieren, sondern diese kontextualisiert zu priorisieren. Gerade die Triage von Schwachstellen ist extrem wichtig, denn nicht jeder Fehler im Code ist kritisch und nicht jeder kritische Fehler muss sofort behoben werden.

»Security by Design ist ein Mix aus kulturellem Wandel im Unternehmen, der Etablierung strenger Compliance-Richtlinien und der praktischen Umsetzung höchster Qualitätsstandards in der Softwareentwicklung«, erklärt Jochen Koehler, Vice President of Sales EMEA bei Cycode. »Guter Wille und die besten Mitarbeitenden reichen in diesem Zusammenhang allerdings leider nicht aus, wenn eine zentrale Plattform fehlt, in der alle Informationen zusammenlaufen. Um Security by Design wirklich umzusetzen und eine ganzheitliche Übersicht über alle Prozesse zu erhalten, führt an einer holistischen ASPM-Lösung kein Weg vorbei.«

963 Artikel zu „Security by Design“

News | Favoriten der Redaktion | IT-Security | Strategien

Security by Design, Zero Trust und Deep Observability: Dreifaltigkeit der IT-Sicherheit

6. Juni 2024

Ali Moniri, Senior Sales Engineer bei Gigamon, weiß: Security by Design und Deep Observability müssen für optimale Netzwerksicherheit Hand in Hand gehen. Wer Softwareprodukte entwickelt, hat schon einmal von Security by Design als idealen Sicherheitsansatz gehört. Dabei handelt es sich um ein Design-Konzept, bei dem das Produkt über den gesamten Entwicklungsprozess hinweg – von…