IT-Sicherheit durch die Hintertür Security-by-Default bei der Software-Auswahl

Von Ari Albertini

Security-by-Default (SBD) spielt beim Schutz unserer Daten eine immer wichtigere Rolle. Konkrete Vorgaben zu den datenschutzfreundlichen Voreinstellungen finden sich nicht nur im Artikel 25 der DSVGO, sondern auch im Koalitionsvertrag der Bundesregierung. Anwender sollten deshalb die wichtigsten Funktionen und Prinzipien sicherheitskonformer Softwarelösungen kennen und beachten.

Anbieter zum Thema

Mit Security-by-Default haben IT-Verantwortliche ein mächtiges Werkzeug in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern.
Mit Security-by-Default haben IT-Verantwortliche ein mächtiges Werkzeug in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern.
(Bild: NicoElNino - stock.adobe.com)

Wenn Programme und Anwendungen bei Nutzerinnen und Nutzern Erfolg haben sollen, also regelmäßig und wie vorgesehen genutzt werden sollen, müssen sie einfach in der Bedienung sein. Das an sich kann in den meisten Fällen bereits eine große Herausforderung darstellen, wie UI- und UX-Designer sicherlich beschwören können. Für IT-Verantwortliche, die die passenden Programme für Unternehmen und Behörden auswählen, ausrollen und erklären müssen, kommt besonders im EU-Raum ein gewisser Rahmen an gesetzlichen Vorschriften hinzu, wenn es um die Sicherheit und den Schutz einer Vielzahl an verarbeiteten Daten geht. Konkret finden sich hierzu im Artikel 25 der DSGVO [Art.25 - EU-DSGVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen - EU-Datenschutz-Grundverordnung (EU-DSGVO)] Angaben zu “datenschutzfreundlichen Voreinstellungen”, die Verantwortliche zu implementieren haben.

Schnell wird klar, dass es eigentlich einer eierlegenden Wollmilchsau bedarf. Eine leicht zu bedienende Anwendung, bei der die User eigentlich nichts falsch machen können, wenn es um die Sicherheit geht. Wenn es wahrscheinlich auch nicht für jede Aufgabe die hierzu perfekte Anwendung gibt, so gibt es doch einige Stellschrauben, mit denen sich die sichere Nutzung erleichtern lässt, ohne dass Nutzer es bemerken müssen. Die Rede ist von Security-by-Default-Einstellungen, die allerdings längst noch nicht in allen Programmen zum Standard gehören. Den Nutzen von Security-by-Default hat auch die deutsche Bundesregierung erkannt und das Thema daher im Koalitionsvertrag festgehalten.

Blocklisten, Versandregeln und App-Stores sind bekannte SBD-Arten

Zu den bekannteren Security-by-Default-Funktionen, mit denen Endnutzer in Berührung kommen, gehören etwa Blocklisten bei Webbrowsern, über die bestimmte Webseiten im Unternehmensnetzwerk gesperrt werden, Admin-Barrieren beim Software-Downloads oder die Ausführung von .exe-Dateien. Stattdessen können sich Nutzer in eigenen Enterprise App-Stores an einer Auswahl freigegebener Programme bedienen.

Im Bereich des sicheren Datentransfers, etwa über eingebundene Lösungen im E-Mail-Client, bieten bestimmte Versandregeln in Bezug auf Betreff, Dateiformate, Domains und andere Parameter zahlreiche Steuerungsmöglichkeiten. Low-Code- und auch No-Code-Anwendungen zielen hier in die gleiche Richtung, da sie Nutzern einen Baukasten an Modulen bieten, mit denen sie zum Beispiel bestimmte Datenaustauschprozesse oder das Zusammenspiel von Apps automatisieren können, ohne dabei direkten Zugriff auf Datenbanken oder ähnliches zu haben.

Wenn es darum geht, eine passende Software-Lösung zu finden, mit welcher Nutzer auf kritische und sensible Daten zugreifen oder diese bearbeiten können, empfiehlt es sich daher als Teil der IT-Sicherheitsstrategie einen besonderen Blick auf SBD-Aspekte zu werfen, um sowohl die IT-Abteilung als auch die Nutzer zu entlasten. Als eine mögliche Orientierungshilfe kann hier eine Übersicht des britischen National Cyber Security Centre fungieren, welche mehrere Prinzipien für SBD definiert. Die Behörde weist darauf hin, dass es nicht als abschließende Klassifizierung oder gar ein Prüfsiegel für eine Software verstanden werden soll. Allerdings lässt sich aus diesen Prinzipien eine kleine Checkliste ableiten:

1. Wurden die Sicherheitsaspekte bei der Entwicklung berücksichtigt und nicht erst nachrangig behandelt?

Sicherheitsaspekte in entsprechenden Software-Anwendungen sollten immer bereits bei deren Entstehung eine Rolle spielen und nicht als Option gesehen werden. Je grundlegender Sicherheit in der Entwicklung verankert ist, desto höher ist die Wahrscheinlichkeit, dass die Lösung einen hohen Grad an Sicherheit bietet. Wenn Anwendungen zuerst auf Bedienbarkeit programmiert werden und erst nachträglich geprüft wird, wie Sicherheitsfunktionen daran angepasst werden können, spricht das kaum für ein ernsthaftes Sicherheitsbewusstsein.

2. Schränkt die Sicherheit die Bedienbarkeit der Software ein?

Die sicherste Software der Welt bringt nichts, wenn sie von den Nutzer nicht oder falsch benutzt wird. Wie eine Lösung das Spannungsfeld zwischen Sicherheit und Bedienbarkeit behandelt, ist eines der entscheidendsten Prüfkriterien.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

3. Funktionieren die Sicherheitsfunktionen direkt bei der Implementierung eines Produktes ohne umfangreiche Konfiguration?

Die wichtigsten Sicherheitsfunktionen sollten beim Rollout einsatzbereit sein, noch bevor der erste Nutzer die Software verwendet. Ausgenommen sind hier verhältnismäßige Anpassungen an das eigene IT-System.

4. Werden die Sicherheitsfunktionen regelmäßig weiterentwickelt?

Die Bedrohungslage von IT-Systemen und Programmen verändert sich ständig und es gibt keinen Endzustand. Eine passende Lösung sollte daher immer auf der Höhe der Zeit sein und mit kontinuierlichen Updates weiterentwickelt werden.

5. Können Nutzer ohne spezielles technisches Vorwissen die Sicherheitsfunktionen nutzen?

Das ist wahrscheinlich eine der beiden entscheidenden Fragen in Bezug auf die Endnutzer. Eine sichere Bedienung sollte sich nicht hinter unzähligen Fenstern, Anmeldungen und Formularen verbergen und so leicht wie möglich sein.

6. Ist die Sicherheit gewährleistet, wenn Nutzer die Software auf eine erwartbare Art und Weise benutzen?

Das ist die zweite entscheidende Frage, die sich auf das Nutzerverhalten richtet. Wie wahrscheinlich ist eine (unabsichtlich oder absichtlich) unsichere Nutzung trotz Einhalten der SBD-Grundsätzen?

Mit SBD-Funktionen in Software-Lösungen haben IT-Verantwortliche mächtige Werkzeuge in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern. Daher empfiehlt es sich, bei der Suche und der Anschaffung neuer Software besonders auf diese zu achten. Sie bilden dabei einen wichtigen Teil innerhalb einer IT-Sicherheitsstrategie, der strukturelle Sicherheit erleichtert.

Die im Koalitionsvertrag der neuen deutschen Bundesregierung genannten weiteren Vorgaben hierzu können durchaus sinnvoll sein, um vor allem flächendeckend den Sicherheitsstandard von Software im EU-Raum zu erhöhen. Interessant wird hierbei besonders, wie die IT-Sicherheitsverantwortlichen den Spagat zwischen einfachen und sicheren Arbeiten meistern.

Über den Autor: Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI, wo er sich um Themen wie agiles Arbeiten und Innovationen kümmert. Er ist außerdem regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.

(ID:48172708)