:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/9e/929ebd787f23abe1aa1f9154660004bc/0110551740.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/63/48636b30e2851005f306fb7910e0c322/0109499300.jpeg "Neben Fortschritten bei der Künstlichen Intelligenz hält das Jahr 2023 noch andere Development-Trends bereit. (© Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/75/4475df87014c1375344e8b82ed6e22dc/0110161453.jpeg "Licht im Tunnel: Shift-Left und Shift-Right schaffen in der Softwareentwicklung einen Schulterschluss von Sicherheit und Agilität. (Bild: <a href=https://unsplash.com/@alexandermils>Alexander Mils</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/8d/dc8d9b3e23bc5bb6a8323b67991445df/0110203970.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/12/3f/123ff52f1eedeb7a255fd95297f8b9ff/0110061064.jpeg "Die SaaS-Plattform SolarWinds Observability steht ab sofort mehr Kunden rund um den Globus zur Verfügung. (Bild: © – jayzynism – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/96/fb96a60a4f2eeba26d699b57f8c4d817/0109733675.jpeg "Alles in allem ist die Cloud Computing Foundation (CNCF) eine erfolgreiche Non-Profit-Organisation, Heimat für innovative Open-Source-Projekte, selbst wenn angesagte Highflyer auch einmal abstürzen. (Bild: Cmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/fe/87/fe87e275bdad6b264f059938465da19f/0109787723.jpeg "Einstieg in Microsoft Graph mit dem Graph-Explorer. (Bild: Joos / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02a26f4ed2857373b2e5d90113ca38/0110506169.jpeg "Unternehmen sollten wissen, wie sie das Beste aus ihren Low-Code- oder No-Code-Plattformen herausholen können. (© bsd studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
IT-Sicherheit durch die Hintertür Security-by-Default bei der Software-Auswahl
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Security-by-Default (SBD) spielt beim Schutz unserer Daten eine immer wichtigere Rolle. Konkrete Vorgaben zu den datenschutzfreundlichen Voreinstellungen finden sich nicht nur im Artikel 25 der DSVGO, sondern auch im Koalitionsvertrag der Bundesregierung. Anwender sollten deshalb die wichtigsten Funktionen und Prinzipien sicherheitskonformer Softwarelösungen kennen und beachten.
Wenn Programme und Anwendungen bei Nutzerinnen und Nutzern Erfolg haben sollen, also regelmäßig und wie vorgesehen genutzt werden sollen, müssen sie einfach in der Bedienung sein. Das an sich kann in den meisten Fällen bereits eine große Herausforderung darstellen, wie UI- und UX-Designer sicherlich beschwören können. Für IT-Verantwortliche, die die passenden Programme für Unternehmen und Behörden auswählen, ausrollen und erklären müssen, kommt besonders im EU-Raum ein gewisser Rahmen an gesetzlichen Vorschriften hinzu, wenn es um die Sicherheit und den Schutz einer Vielzahl an verarbeiteten Daten geht. Konkret finden sich hierzu im Artikel 25 der DSGVO [Art.25 - EU-DSGVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen - EU-Datenschutz-Grundverordnung (EU-DSGVO)] Angaben zu “datenschutzfreundlichen Voreinstellungen”, die Verantwortliche zu implementieren haben.
Schnell wird klar, dass es eigentlich einer eierlegenden Wollmilchsau bedarf. Eine leicht zu bedienende Anwendung, bei der die User eigentlich nichts falsch machen können, wenn es um die Sicherheit geht. Wenn es wahrscheinlich auch nicht für jede Aufgabe die hierzu perfekte Anwendung gibt, so gibt es doch einige Stellschrauben, mit denen sich die sichere Nutzung erleichtern lässt, ohne dass Nutzer es bemerken müssen. Die Rede ist von Security-by-Default-Einstellungen, die allerdings längst noch nicht in allen Programmen zum Standard gehören. Den Nutzen von Security-by-Default hat auch die deutsche Bundesregierung erkannt und das Thema daher im Koalitionsvertrag festgehalten.
Blocklisten, Versandregeln und App-Stores sind bekannte SBD-Arten
Zu den bekannteren Security-by-Default-Funktionen, mit denen Endnutzer in Berührung kommen, gehören etwa Blocklisten bei Webbrowsern, über die bestimmte Webseiten im Unternehmensnetzwerk gesperrt werden, Admin-Barrieren beim Software-Downloads oder die Ausführung von .exe-Dateien. Stattdessen können sich Nutzer in eigenen Enterprise App-Stores an einer Auswahl freigegebener Programme bedienen.
Im Bereich des sicheren Datentransfers, etwa über eingebundene Lösungen im E-Mail-Client, bieten bestimmte Versandregeln in Bezug auf Betreff, Dateiformate, Domains und andere Parameter zahlreiche Steuerungsmöglichkeiten. Low-Code- und auch No-Code-Anwendungen zielen hier in die gleiche Richtung, da sie Nutzern einen Baukasten an Modulen bieten, mit denen sie zum Beispiel bestimmte Datenaustauschprozesse oder das Zusammenspiel von Apps automatisieren können, ohne dabei direkten Zugriff auf Datenbanken oder ähnliches zu haben.
Wenn es darum geht, eine passende Software-Lösung zu finden, mit welcher Nutzer auf kritische und sensible Daten zugreifen oder diese bearbeiten können, empfiehlt es sich daher als Teil der IT-Sicherheitsstrategie einen besonderen Blick auf SBD-Aspekte zu werfen, um sowohl die IT-Abteilung als auch die Nutzer zu entlasten. Als eine mögliche Orientierungshilfe kann hier eine Übersicht des britischen National Cyber Security Centre fungieren, welche mehrere Prinzipien für SBD definiert. Die Behörde weist darauf hin, dass es nicht als abschließende Klassifizierung oder gar ein Prüfsiegel für eine Software verstanden werden soll. Allerdings lässt sich aus diesen Prinzipien eine kleine Checkliste ableiten:
1. Wurden die Sicherheitsaspekte bei der Entwicklung berücksichtigt und nicht erst nachrangig behandelt?
Sicherheitsaspekte in entsprechenden Software-Anwendungen sollten immer bereits bei deren Entstehung eine Rolle spielen und nicht als Option gesehen werden. Je grundlegender Sicherheit in der Entwicklung verankert ist, desto höher ist die Wahrscheinlichkeit, dass die Lösung einen hohen Grad an Sicherheit bietet. Wenn Anwendungen zuerst auf Bedienbarkeit programmiert werden und erst nachträglich geprüft wird, wie Sicherheitsfunktionen daran angepasst werden können, spricht das kaum für ein ernsthaftes Sicherheitsbewusstsein.
2. Schränkt die Sicherheit die Bedienbarkeit der Software ein?
Die sicherste Software der Welt bringt nichts, wenn sie von den Nutzer nicht oder falsch benutzt wird. Wie eine Lösung das Spannungsfeld zwischen Sicherheit und Bedienbarkeit behandelt, ist eines der entscheidendsten Prüfkriterien.
3. Funktionieren die Sicherheitsfunktionen direkt bei der Implementierung eines Produktes ohne umfangreiche Konfiguration?
Die wichtigsten Sicherheitsfunktionen sollten beim Rollout einsatzbereit sein, noch bevor der erste Nutzer die Software verwendet. Ausgenommen sind hier verhältnismäßige Anpassungen an das eigene IT-System.
4. Werden die Sicherheitsfunktionen regelmäßig weiterentwickelt?
Die Bedrohungslage von IT-Systemen und Programmen verändert sich ständig und es gibt keinen Endzustand. Eine passende Lösung sollte daher immer auf der Höhe der Zeit sein und mit kontinuierlichen Updates weiterentwickelt werden.
5. Können Nutzer ohne spezielles technisches Vorwissen die Sicherheitsfunktionen nutzen?
Das ist wahrscheinlich eine der beiden entscheidenden Fragen in Bezug auf die Endnutzer. Eine sichere Bedienung sollte sich nicht hinter unzähligen Fenstern, Anmeldungen und Formularen verbergen und so leicht wie möglich sein.
6. Ist die Sicherheit gewährleistet, wenn Nutzer die Software auf eine erwartbare Art und Weise benutzen?
Das ist die zweite entscheidende Frage, die sich auf das Nutzerverhalten richtet. Wie wahrscheinlich ist eine (unabsichtlich oder absichtlich) unsichere Nutzung trotz Einhalten der SBD-Grundsätzen?
Mit SBD-Funktionen in Software-Lösungen haben IT-Verantwortliche mächtige Werkzeuge in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern. Daher empfiehlt es sich, bei der Suche und der Anschaffung neuer Software besonders auf diese zu achten. Sie bilden dabei einen wichtigen Teil innerhalb einer IT-Sicherheitsstrategie, der strukturelle Sicherheit erleichtert.
Die im Koalitionsvertrag der neuen deutschen Bundesregierung genannten weiteren Vorgaben hierzu können durchaus sinnvoll sein, um vor allem flächendeckend den Sicherheitsstandard von Software im EU-Raum zu erhöhen. Interessant wird hierbei besonders, wie die IT-Sicherheitsverantwortlichen den Spagat zwischen einfachen und sicheren Arbeiten meistern.
Über den Autor: Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI, wo er sich um Themen wie agiles Arbeiten und Innovationen kümmert. Er ist außerdem regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.
(ID:48172708)
:quality(80)/images.vogel.de/vogelonline/bdb/1947300/1947338/original.jpg "Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte. (Veracode)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940500/1940570/original.jpg "Einige Best Practices helfen, bei der Nutzung von Open-Source-Komponenten auf der sicheren Seite zu bleiben. (peshkova - stock.adobe.com)")