Illustration Absmeier foto freepik

Unabhängig davon, welches Geschäftsmodell einem Unternehmen zugrunde liegt, heutzutage ist es zwangsläufig ein Softwareunternehmen – auch dann, wenn es selbst keine Softwarelösungen anbietet. Das Building Security in Maturity Model (BSIMM) ist dabei mehr als ein Tool, es ist auch eine Gemeinschaft von Unternehmen, die auf dasselbe Ziel hinarbeiten [1].

BSIMM, der jährlich erscheinende Bericht von Black Duck, ist gerade in seiner 15. Auflage erschienen. Die Ergebnisse basieren auf dem geteilten Wissen der Community, die sich an Softwaresicherheitsinitiativen (SSIs) beteiligt. Auf dieser Grundlage entsteht ein Leitfaden dazu, wie man möglichst sichere Software entwickelt und dazu, was funktioniert und was nicht. Software steuert so gut wie unser gesamtes modernes Leben, von kritischen Infrastrukturen wie Energieversorgern, Finanzdienstleistern, dem Gesundheitswesen, Transport und Logistik bis hin zu persönlichen Dienstleistungen wie Fahrzeugen, Smart Homes, Unterhaltung und Kommunikation. Neben allen Vorteilen, sind damit unleugbar Risiken verbunden. Cyberkriminelle müssen nur noch bestehende Softwareschwachstellen ausnutzen, um potenziell schwere Schäden anzurichten.

Vorteile nutzen – Nachteile vermeiden

Es gilt, einen Weg zu finden, die Vorteile unternehmerisch nutzen zu können, ohne die Nachteile in Kauf nehmen zu müssen. Wie man das am besten macht, das zeigt der rein deskriptive BSIMM-Bericht. Er dokumentiert, was andere Firmen tun und wie. In diesem Jahr haben 121 Unternehmen aus acht verschiedenen Branchen teilgenommen. Das Ergebnis ist eine Art Roadmap. Sie gestattet es Firmen einen Weg zu wählen, der am besten zu den spezifischen Merkmalen, Bedürfnissen und nicht zuletzt ihrem Budget passt. Jedes Jahr nutzen Unternehmen aus unterschiedlichen Branchen BSIMM, um eine Score Card für ihre Softwaresicherheitsprogramme zu erstellen und um anhand derer ihre SSIs (Softwaresicherheitsinitiativen) zu optimieren.

Die anonymisierte Datenerhebung erlaubt es, Änderungen eines Sicherheitsprogramms in Bezug auf Mitarbeiter, Prozesse, Technologien, Firmenkultur, Compliance, digitale Transformation und weitere Bereiche detailliert darzustellen und ein gemeinsames Vokabular zu definieren, das jeder verwenden kann.

Detaillierte Beschreibung

Zu Beginn werden wichtige Trends aufgezeigt, die entweder gänzlich neu sind, sowie solche, die zu- oder abnehmen und die ihnen zugrunde liegenden Treiber. Das sind etwa bestimmte Bedrohungen oder technologische Fortschritte. Die dargestellten Initiativen reichen von der Automatisierung über künstliche Intelligenz (KI) bis hin zu Sicherheits-Tools für die Lieferkette wie Softwarestücklisten (SBOMs). Die Struktur, das sogenannte »Skelett« des Berichts, enthält 128 Sicherheitsaktivitäten, die in 12 Praktiken unterteilt sind, die sich wiederum in vier Bereiche gruppieren. Die acht von BSIMM15 abgedeckten Branchen sind Cloud, Finanzdienstleistungen, Fintech, Gesundheitswesen, unabhängige Softwareanbieter, Versicherungen, das Internet der Dinge (IoT) und Technologie. Insgesamt stützt sich der Bericht auf Daten von etwa 11.100 Sicherheitsexperten, die rund 270.000 Entwickler dabei unterstützen, Sicherheit in zirka 96.000 Anwendungen zu integrieren.

Dabei ist Softwaresicherheit nie statisch – sie verändert sich ständig als Reaktion auf die technologische Entwicklungen und die Bedrohungslandschaft. Im vergangenen Jahr war, wie erwartet, einer der wichtigsten Trends die massive Ausweitung von KI-basierenden Anwendungen. Und das sowohl bei denen, die versuchen sichere Software zu entwickeln als auch bei denen, die KI für cyberkriminelle Zwecke nutzen. Neue Large Language Models (LLMs) sind in der Lage viele Sicherheitsmaßnahmen zu übernehmen, die bisher menschlicher Intervention vorbehalten waren. Das gilt umgekehrt aber auch für Hacking-Tools. Da sind LLMs eine Klasse für sich, was das Finden und Ausnutzen von Schwachstellen anbelangt. Angesichts dieser Entwicklung sollten Developer, Security-Verantwortliche, Betrieb, IT und Kommunikation enger zusammenarbeiten, wenn sie dem etwas entgegensetzen wollen.

Die wichtigsten Trends von BSIMM15 auf einen Blick:

Compliance

Die US-Bundesregierung erlässt zwar in der Regel keine pauschalen Sicherheitsmandate für Softwarehersteller, die Anforderungen sind aber inzwischen sehr viel deutlicher und spezifischer geworden, wenn Firmen Produkte an Regierungsbehörden verkaufen wollen. Eines dieser Mandate ist die Selbstbescheinigung, d. h. Anbieter müssen schriftlich versichern, dass ein Produkt den vorgeschriebenen Sicherheitsstandards entspricht [2]. Die Bescheinigung ist Bestandteil eines Dokuments der Biden-Regierung zur Cybersicherheitsstrategie [3].

Wer seine Softwarelösungen an die Regierung verkaufen will, der muss sie mit einer Softwarestückliste (SBOM) versehen – einer vollständigen Auflistung der Komponenten eines Produkts, der jeweiligen Hersteller, jeder einzelnen Komponente, der betreffenden Version und aller anderen eindeutigen Kennungen. Ein Beitrag zu mehr Sicherheit für die Lieferketten. Ähnliche Bestrebungen und Vorgaben enthalten auch zahlreiche europäische Gesetze und Vorgaben.

Es ist also nicht allzu überraschend, dass BSIMM15 einen deutlichen Anstieg bei den Praktiken verzeichnet, die diese Anforderungen unterstützen.

Innovation – aber sicher

Technologien entwickeln sich derart rasant, dass neue Vorgehensweisen Einzug halten, bevor sich die Branche überhaupt auf bewährte Verfahren einigen kann. Unternehmen mit ausgereiften SSIs haben deshalb selbst daran gearbeitet, neue Angriffsmethoden und Adversarial Tests (auch als »Tests gegen das Konzept« bekannt) zu entwickeln und so potenzielle Angriffstechniken nachzuahmen.

»Shift Everywhere« entwickelt sich kontinuierlich weiter

Dies ist im Grunde ein Trend von »gut« hin zu »besser«. Vor mehr als einem Jahrzehnt lautete die Empfehlung »Shift Left«, was so viel heißt, wie den Code so früh wie möglich innerhalb der Softwareentwicklung zu testen, anstatt damit bis zum Ende zu warten. Dann nämlich kostet es deutlich mehr Zeit und Geld, Fehler zu beheben. Das war zwar eine Verbesserung, aber auch unzureichend und irreführend. Die Autoren des BSIMM-Berichts stellten vor einigen Jahren fest, dass »Shift Left« nie nur eine Verschiebung nach links bedeuten sollte, sondern dass Sicherheitskontrollen überall im Entwicklungszyklus durchgeführt werden sollten. Und zwar, sobald die Artefakte, von denen diese Aktivität abhängt, verfügbar sind. Die gute Nachricht: immer mehr Unternehmen haben die Botschaft verstanden und beherzigen sie auch.

Automatisieren, automatisieren

Auch hier hat sich der Trend von gut zu besser verschoben. Automatisierte Software-Testtools gibt es schon seit langem. Aber jetzt ist es möglich, Automatisierung zu nutzen, um den gesamten Entwicklungslebenszyklus zu steuern. Die Aktivität im Original als »Integrate software-defined lifecycle Governance« beschrieben ist zwar mit nur 9,1 % vom Mainstream noch weit entfernt, aber dennoch eine Steigerung von 48 % gegenüber dem Vorjahr.

Qualitätskontrolle

Die meisten Softwareprodukte werden heute in erster Linie aus existierenden Komponenten zusammengebaut und nicht von Grund auf neu entwickelt. Der Ende Februar diesen Jahres veröffentlichte »2024 Open Source Security and Risk Analysis«-Bericht kommt zu dem Schluss, dass so gut wie alle Softwareprodukte Komponenten von Drittanbietern oder Open Source Software enthalten und diese durchschnittlich 70 % aller Codebasen ausmachen [4]. Angesichts der wachsenden Risiken von unsicherer Software, fordern immer mehr Unternehmen von ihren Anbietern, hier Abhilfe zu schaffen. Ein Beispiel ist die Tatsache, dass die Forderung nach Softwaresicherheit inzwischen explizit Eingang in viele Service-Level-Agreements gefunden hat. In den letzten vier Jahren ist der Anteil der Firmen, die Anbieter solcherart in die Pflicht nehmen von 36,9 % auf 49,6 % gestiegen.

Awareness? Das war doch was…

Einer der eher bedenklichen Trends, die im Rahmen des BSIMM-Berichts beobachtet wurden, ist der Rückgang von Security-Awareness-Schulungen in Sachen Softwaresicherheit. Im Rahmen des ersten BSIMM-Berichts gaben die damals neun teilnehmenden Firmen zu 100 Prozent an, Security Awareness Trainings durchzuführen. In den darauffolgenden 14 Jahren ist dieser Anteil auf kaum mehr als 50 % gesunken.

Ein Grund mag in den ohnehin knappen Budgets liegen, ein anderer in der knappen Zeit oder in der irrigen Annahme, einmal durchgeführte Schulungen müsse man nicht zwangsläufig wiederholen oder anpassen. Eine nicht ganz ungefährliche Einschätzung – auch und gerade in Zeiten einer hohen Mitarbeiterfluktuation.

Fazit

Dem Thema Sicherheit angesichts neuer Technologien Priorität einzuräumen, insbesondere in sich rasant entwickelnden Bereichen wie der KI, war noch nie so wichtig und herausfordernd wie gerade jetzt. BSIMM15 bietet Einblick darin, wie unterschiedliche Unternehmen und Branchen diese Hürden nehmen. Damit dient der Report als Leitfaden für eine sichere Softwareentwicklung. Solche Fortschritte lassen sich nicht über Nacht erzielen. Eine der Kernbotschaften von BSIMM ist seit jeher, dass Sicherheit eine Reise und kein singuläres Ereignis ist. Das Ziel aber sollte klar sein. BSIMM gibt Unternehmen eine Richtschnur an die Hand, wie sie dieses Ziel schneller und im Einklang mit den spezifischen Firmen- und Branchenanforderungen erreichen können.

Boris Cipot, Senior Security Engineer, Black Duck

[1] https://www.blackduck.com/resources/analyst-reports/bsimm.html?cmp=pr-sig&utm_medium=referral

[2] https://armerding.medium.com/want-to-sell-software-to-the-feds-youll-have-to-build-it-better-and-swear-in-writing-that-you-did-962d03545ec9

[3] https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

[4] https://www.blackduck.com/resources/analyst-reports/open-source-security-risk-analysis.html#introMenu