Sicherheit im Entwicklungsprozess
Weil ich nebenbei dran bin das Thema IT-Sicherheit im Software Entwicklungsprozess aufzubereiten, hier eine Liste von möglichen Motivationspunkten. Wovor soll geschützt werden...
- Das Image eines Software Unternehmens ist sehr wichtig. Vertrauen in die Beständigkeit und Leistungsfähigkeit des Softwarehauses ist eines der wichtige Auswahlkriterien bei der Beschaffung von Software..
- Zumindest in Deutschland kann sich ein Unternehmen nicht aus der Produkthaftung befreien. Auch bei Auftragsarbeit besteht das Risiko von Regressansprüchen
- Für bestimmte Einsatzbereich fordern Kunden Explizit Audits und Zertifizierungen des Entwicklungsprozesses. In bestimmten Bereichen wird dies auch durch Gesetzgeber oder Verwaltung gefordert. Compliance ist ein wichtiges neues Thema.
- Software Unternehmen sind der Prototyp eines IT-lastigen Unternehmens. Entsprechend wichtig ist ein Securitymanagement in diesem Bereich.
- Die IT gilt zwar gemeinhin als Rationalisierungsmittel, Software Hersteller und Beratungshäuser sind aber extrem personalintensive Dienstleistungsunternehmen. Der Faktor Mensch im Prozess bringt aber einige Probleme mit sich. Von personenbezogenen Daten über irrationales Verhalten (und der Herausforderung der Führung) bis hin zu den unvermeidlichen Fehlern.
- Unternehmen mit hohem Anteil an F&E stehen unter verstärkter Wettbewerbsbeobachtung bis hin zur Industriespionage. Der Schutz von Intellectual Property wird oft als wichtiger Überlebensfaktor angesehen. Mit den drohenden Softwarepatenten wird diese Situation nur schlimmer.
- Der Trend zur Software aus dem Regal (COTS) existiert auch in sicherheitskritischen Bereichen. Als Softwarehersteller kann man sich hier schnell in der Verantwortung finden. Menschenleben oder Menschenrechte können von der ordnungsgemäßen Funktion der Software abhängen.
- Die Aufgabenstellung ein sicheres System zu implementieren ist höchst Komplex, es gibt noch keine silberne Kugel. Weder bei den Methoden noch den Technologien. Oftmals spricht man von der jungen Wissenschaft Informatik
- Der Teufel steckt im Detail, Angreifer müssen nur eine Lücke finden, Software Hersteller müssen alle Fehler vermeiden
- Der Markt ist für den Kunden schwer zu überblicken. Kunden entscheiden sich wegen fehlendem Überblick, wegen mangelndem Bewusstsein oder wegen externen Zwängen nicht immer für die sicherste Lösung. In vielen Segmenten ist der Preisdruck hoch, Investitionen in Sicherheit werden weniger belohnt als Features oder Time-to-Market.
- Vermutlich auch weil es Niemand wirklich im Griff hat sind Bugs akzeptiert. Es ist z.B. unwahrscheinlich dass ein Betriebsystem Hersteller für Virenanfälligkeit haften muss.
- Selbst bei unbeschränktem Budget sind die Ressourcen knapp, es ist nicht möglich alle nötigen Positionen mit erfahrenen All-Round Experten zu besetzen. Und selbst wenn haben diese auch mal schwache Momente.
- Software Entwicklung bewegt sich oft in einem Umfeld das geprägt ist durch Altlasten, Kompatibilität und ständige zusätzliche Anforderungen. Das führt zu sicherheitskritischem Wildwuchs.
- Robuste Lösungen zeichnen sich durch Redundanz, definiertes Fehlverhalten und Sicherheit auf mehreren Ebenen aus. Dem Zugrunde liegt aber die Einsicht, dass es eine 100%ige Sicherheit nicht gibt. In vielen Bereichen ist es schlichtweg nicht Objektiv möglich zu definieren welcher Ansatz nun mehr Sicherheit bringt
- Wenn im Entwicklungsprozess die Anzahl der Personen die Zugriff haben minimiert wird (zur Risikoreduzierung), so führt dies auch dazu dass weniger Personen informiert sind, Reviews durchfühen oder Funktionen mehrfach implementiert werden. Generell herrscht die Meinung, dass die Produktivität von Entwicklungsteams sinkt.
- Faktoren wie Spezialisierung, Flexibilität und Geschwindigkeit bedingen zunehmend den Einsatz von Komponenten und Libraries von Dritter Seite. Die Integration dieser Software (oftmals auch Blackboxen) bringen neue Herausforderungen in allen Phasen des Produktlebenszyklus. Auch das Thema Open Source kann man hier zwiespältig beurteilen.
Comments
Display comments as Linear | Threaded
Tobias Schmid on :
Bernd Eckenfels on :