Warum es Anbietern schwerfallen könnte, die Dynamik von „Secure by Design“ aufrechtzuerhalten
Inhaltsverzeichnis:
Zahlreiche Technologieanbieter haben sich einem von der US-Regierung unterstützten Secure by Design-Versprechen. Aber wird diese Verpflichtung einen Bruch mit der Vergangenheit und dem scheinbar endlosen Kreislauf der Cyberangriffe bedeuten? Unabhängige Experten loben die Initiative zwar als wertvoll, sind sich aber über ihre wahrscheinlichen Auswirkungen nicht im Klaren.
Worum geht es?
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) versucht, Softwareanbieter dazu zu bewegen, sich im Rahmen einer umfassenderen Strategie zur Verbesserung der nationalen Cybersicherheitsresilienz der Verpflichtung anzuschließen. Die Verpflichtung ist freiwillig und nicht rechtlich bindend, zielt jedoch darauf ab, Softwareanbieter dazu zu bewegen, Sicherheit zu einem grundlegenden Bestandteil ihres Produktentwicklungszyklus zu machen.
Die Ziele der Verpflichtung lassen sich in sieben Kategorien einteilen:
⦁ Erhöhen Sie die Nutzung der Multi-Faktor-Authentifizierung für alle Produkte
⦁ Reduzieren Sie die Verbreitung von Standardkennwörtern in allen Produkten
⦁ Nachweis einer signifikanten messbaren Verringerung der Verbreitung einer oder mehrerer Schwachstellenklassen über alle Produkte hinweg
⦁ Erhöhen Sie die Installation von Sicherheitspatches durch Kunden
⦁ Veröffentlichen Sie eine Richtlinie zur Offenlegung von Schwachstellen, die öffentliche Tests autorisiert
⦁ Zeigen Sie Transparenz bei der Meldung von Schwachstellen, indem Sie genaue Daten zur Common Weakness Enumeration (CWE) und Common Platform Enumeration (CPE) in Schwachstellenberichte aufnehmen. Geben Sie zeitnah Common Vulnerabilities and Exposures (CVE)-Datensätze für Produkte heraus.
⦁ Verbessern Sie die Möglichkeit für Kunden, Beweise für Cybersicherheitsverletzungen zu sammeln, die die Technologien eines Herstellers beeinträchtigen
Softwareentwickler, Cloud-Dienste und SaaS-Technologien fallen alle in den Geltungsbereich der Selbstverpflichtung, physische Produkte wie IoT-Geräte und Konsumgüter hingegen nicht. Eine Gruppe von 68 führenden Technologieunternehmen – darunter Amazon Web Services, Cisco, Google und Microsoft – unterzeichnete die Selbstverpflichtung bei ihrer Einführung Anfang Mai, und diese Zahl ist inzwischen auf über 140 Anbieter gestiegen.
CISA hofft, dass öffentliche Selbstverpflichtungen einer wachsenden Zahl von Unternehmen die Transparenz fördern und es Kunden ermöglichen, die Fortschritte der Anbieter bei der Erreichung ihrer Sicherheitsziele zu bewerten. Die Hersteller werden gebeten, ihre Fortschritte bei der Erreichung ihrer Ziele innerhalb eines Jahres nach Unterzeichnung der Selbstverpflichtung zu dokumentieren, auch damit die gesamte Branche aus ihren Sicherheitsmaßnahmen lernen kann.
Das Versprechen untermauern
Da die Anbieter nach Cyberangriffen oder Sicherheitsverletzungen bereits routinemäßig versprechen, ihre Sicherheit zu verbessern, ist die Frage berechtigt, welche Auswirkungen eine freiwillige Selbstverpflichtung voraussichtlich haben wird.
„Obwohl die Selbstverpflichtung selbst von entscheidender Bedeutung ist, um das Bewusstsein zu schärfen und den notwendigen Maßstab für Sicherheitspraktiken zu setzen, zwingt oder motiviert sie die Anbieter nicht dazu, diese Prinzipien über ihre ethische Verantwortung hinaus vollständig in ihre Entwicklungsprozesse zu integrieren“, erklärt Patrick Tiquet, Vizepräsident für Sicherheit und Compliance bei Keeper Security, gegenüber ISMS.online.
„Wenn Softwarekunden jedoch darauf bestehen, dass die Entwickler diese Verpflichtung eingehen und bestätigen, dass sie diese auch einhalten, wird die Verpflichtung weniger freiwillig und verwandelt sich in eine grundlegende Erwartung.“
Auch Taimur Ijlal, ein Technologieexperte und Leiter der Informationssicherheit bei Netify, mahnt zur Vorsicht.
„Führende Unternehmen wie Microsoft und Google müssen mit gutem Beispiel vorangehen und andere ermutigen, ihnen zu folgen, wenn sie mit ihrem Versprechen bedeutende Veränderungen herbeiführen wollen“, sagt er gegenüber ISMS.online. „Ohne Marktkräfte oder gesetzliche Anforderungen könnten viele Softwareanbieter jedoch auch mit ihrer Unterstützung immer noch zögern, mitzumachen.“
Vieles hänge vom ethischen Standard der Unterzeichner ab, so Ijlal. Er fügt hinzu, dass selbst ein uneingeschränktes Engagement für Verbesserungen kein Erfolgsgarant sei.
„Selbst in Software von namhaften Herstellern tauchen immer noch Schwachstellen auf“, argumentiert er. „Obwohl die Selbstverpflichtung Fortschritte fördert, mangelt es ihr an Durchsetzungsmechanismen, um sicherzustellen, dass die Unternehmen ihre Verpflichtungen vollständig erfüllen.“
Maria Opre, Expertin für Cybersicherheit und leitende Analystin bei EarthWeb, argumentiert, dass Anbieter durch die Verbesserung der Sicherheit ihrer Produkte wirtschaftliche Vorteile erzielen können.
„Sicherheitsverletzungen können für Unternehmen verheerende Folgen haben – Bußgelder, Rufschädigung, kostspielige Ausfallzeiten, um nur einige zu nennen“, sagt sie gegenüber ISMS.online. „Von Anfang an sichere Codierungspraktiken zu befolgen, reduziert technische Schulden und teures Patchen im Nachhinein. Es ist eine kluge Investition.“
Katz und Maus
Darüber hinaus besteht die Gefahr, dass die durch die Zusage erzielten Fortschritte durch veränderte Taktiken der Bedrohungsakteure zunichte gemacht werden könnten.
Laut John Allison, Director of Public Sector Business bei Checkmarx, sei mit einer Entwicklung der Bedrohungen zu rechnen. Das Ziel sollte daher darin bestehen, die Sicherheit kontinuierlich zu verbessern und den Angreifern Kosten aufzuerlegen.
„Gegner entwickeln sich ständig weiter, aber das Ziel hier ist, sie zur Anpassung zu zwingen und sie dazu zu bringen, Zeit und Mühe zu investieren, um Lücken in einer grundsätzlich soliden Sicherheitsarchitektur zu finden“, sagt er gegenüber ISMS.online. „Ich würde erwarten, dass sich die Ziele von Secure by Design im Laufe der Zeit weiterentwickeln, wenn sich auch die Bedrohungen weiterentwickeln.“
Ijlal von Netify argumentiert, dass „Secure by Design“ zu einer „fortlaufenden Praxis“ und nicht zu einem einmaligen Ansatz werden müsse, bei dem nur Kästchen angekreuzt werden.
„Entwickler müssen ständig neue Risiken bewerten und ihre Praktiken entsprechend weiterentwickeln. Statische Sicherheit wird irgendwann immer umgangen“, fügt er hinzu. „Es ist gut, Entwicklern beizubringen, wie man sicheren Code entwirft, Risikobewertungen durchführt und Bedrohungsmodelle einsetzt. Während wir Verfahren rationalisieren, müssen wir auch in Menschen investieren.“
Nach links verschieben
Die Förderung von DevSecOps-Praktiken, die Softwareentwickler dazu ermutigen, von Anfang an einen „Shift Left“ durchzuführen, indem sie sich auf sichere Codierungspraktiken einlassen, steht im Einklang mit den Zielen der „Secure by Design“-Verpflichtung der CISA.
Entwickler können Risiken minimieren, bevor sie zu ausnutzbaren Schwachstellen werden. Um dies zu erreichen, sind allerdings mehr als nur Versprechen erforderlich. Es ist eine umfassende Integration bewährter Sicherheitsmethoden in den gesamten Softwareentwicklungszyklus erforderlich.
„Der Aufbau einer gut durchdachten und effektiven Sicherheitsarchitektur erfordert ganz andere Fähigkeiten als die meisten Softwareentwickler“, so Allison von Checkmarx. „In der Eile, neue Produkte auf den Markt zu bringen, wird Sicherheit oft entweder völlig ignoriert oder nur minimal beachtet, gerade genug, um eine Zertifizierung zu bestehen.“
Normenantrieb
Zertifizierungen können dazu beitragen, „Secure by Design“ zu fördern, indem sie die Messlatte für die zu ergreifenden Kontrollen und die Art und Weise, wie die Prüfer das Unternehmen für die Zertifizierung bewerten müssen, höher legen. Und Experten behaupten, dass Sicherheitsstandards wie ISO 27001 ebenfalls dazu beitragen könnten, eine „Security by Design“-Kultur zu fördern. ISO 27001 beispielsweise bietet einen Rahmen für das Management der Informationssicherheit, der Unternehmen dabei hilft, Sicherheitsrisiken systematisch anzugehen.
„Standards wie ISO 27001 spielen eine entscheidende Rolle bei der Förderung einer Security-by-Design-Kultur. Durch die Einhaltung solcher Standards können Unternehmen sicherstellen, dass Sicherheit kein nachträglicher Einfall ist, sondern ein grundlegender Bestandteil ihrer Geschäftstätigkeit“, so Tiquet von Keeper Security abschließend.
„Diese Standardisierung kann die Einführung sicherer Entwicklungspraktiken vorantreiben und eine widerstandsfähigere Softwareumgebung schaffen.“