:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
IT-Sicherheit durch die Hintertür Security-by-Default bei der Software-Auswahl
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Security-by-Default (SBD) spielt beim Schutz unserer Daten eine immer wichtigere Rolle. Konkrete Vorgaben zu den datenschutzfreundlichen Voreinstellungen finden sich nicht nur im Artikel 25 der DSVGO, sondern auch im Koalitionsvertrag der Bundesregierung. Anwender sollten deshalb die wichtigsten Funktionen und Prinzipien sicherheitskonformer Softwarelösungen kennen und beachten.
Wenn Programme und Anwendungen bei Nutzerinnen und Nutzern Erfolg haben sollen, also regelmäßig und wie vorgesehen genutzt werden sollen, müssen sie einfach in der Bedienung sein. Das an sich kann in den meisten Fällen bereits eine große Herausforderung darstellen, wie UI- und UX-Designer sicherlich beschwören können. Für IT-Verantwortliche, die die passenden Programme für Unternehmen und Behörden auswählen, ausrollen und erklären müssen, kommt besonders im EU-Raum ein gewisser Rahmen an gesetzlichen Vorschriften hinzu, wenn es um die Sicherheit und den Schutz einer Vielzahl an verarbeiteten Daten geht. Konkret finden sich hierzu im Artikel 25 der DSGVO [Art.25 - EU-DSGVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen - EU-Datenschutz-Grundverordnung (EU-DSGVO)] Angaben zu “datenschutzfreundlichen Voreinstellungen”, die Verantwortliche zu implementieren haben.
Schnell wird klar, dass es eigentlich einer eierlegenden Wollmilchsau bedarf. Eine leicht zu bedienende Anwendung, bei der die User eigentlich nichts falsch machen können, wenn es um die Sicherheit geht. Wenn es wahrscheinlich auch nicht für jede Aufgabe die hierzu perfekte Anwendung gibt, so gibt es doch einige Stellschrauben, mit denen sich die sichere Nutzung erleichtern lässt, ohne dass Nutzer es bemerken müssen. Die Rede ist von Security-by-Default-Einstellungen, die allerdings längst noch nicht in allen Programmen zum Standard gehören. Den Nutzen von Security-by-Default hat auch die deutsche Bundesregierung erkannt und das Thema daher im Koalitionsvertrag festgehalten.
Blocklisten, Versandregeln und App-Stores sind bekannte SBD-Arten
Zu den bekannteren Security-by-Default-Funktionen, mit denen Endnutzer in Berührung kommen, gehören etwa Blocklisten bei Webbrowsern, über die bestimmte Webseiten im Unternehmensnetzwerk gesperrt werden, Admin-Barrieren beim Software-Downloads oder die Ausführung von .exe-Dateien. Stattdessen können sich Nutzer in eigenen Enterprise App-Stores an einer Auswahl freigegebener Programme bedienen.
Im Bereich des sicheren Datentransfers, etwa über eingebundene Lösungen im E-Mail-Client, bieten bestimmte Versandregeln in Bezug auf Betreff, Dateiformate, Domains und andere Parameter zahlreiche Steuerungsmöglichkeiten. Low-Code- und auch No-Code-Anwendungen zielen hier in die gleiche Richtung, da sie Nutzern einen Baukasten an Modulen bieten, mit denen sie zum Beispiel bestimmte Datenaustauschprozesse oder das Zusammenspiel von Apps automatisieren können, ohne dabei direkten Zugriff auf Datenbanken oder ähnliches zu haben.
Wenn es darum geht, eine passende Software-Lösung zu finden, mit welcher Nutzer auf kritische und sensible Daten zugreifen oder diese bearbeiten können, empfiehlt es sich daher als Teil der IT-Sicherheitsstrategie einen besonderen Blick auf SBD-Aspekte zu werfen, um sowohl die IT-Abteilung als auch die Nutzer zu entlasten. Als eine mögliche Orientierungshilfe kann hier eine Übersicht des britischen National Cyber Security Centre fungieren, welche mehrere Prinzipien für SBD definiert. Die Behörde weist darauf hin, dass es nicht als abschließende Klassifizierung oder gar ein Prüfsiegel für eine Software verstanden werden soll. Allerdings lässt sich aus diesen Prinzipien eine kleine Checkliste ableiten:
1. Wurden die Sicherheitsaspekte bei der Entwicklung berücksichtigt und nicht erst nachrangig behandelt?
Sicherheitsaspekte in entsprechenden Software-Anwendungen sollten immer bereits bei deren Entstehung eine Rolle spielen und nicht als Option gesehen werden. Je grundlegender Sicherheit in der Entwicklung verankert ist, desto höher ist die Wahrscheinlichkeit, dass die Lösung einen hohen Grad an Sicherheit bietet. Wenn Anwendungen zuerst auf Bedienbarkeit programmiert werden und erst nachträglich geprüft wird, wie Sicherheitsfunktionen daran angepasst werden können, spricht das kaum für ein ernsthaftes Sicherheitsbewusstsein.
2. Schränkt die Sicherheit die Bedienbarkeit der Software ein?
Die sicherste Software der Welt bringt nichts, wenn sie von den Nutzer nicht oder falsch benutzt wird. Wie eine Lösung das Spannungsfeld zwischen Sicherheit und Bedienbarkeit behandelt, ist eines der entscheidendsten Prüfkriterien.
3. Funktionieren die Sicherheitsfunktionen direkt bei der Implementierung eines Produktes ohne umfangreiche Konfiguration?
Die wichtigsten Sicherheitsfunktionen sollten beim Rollout einsatzbereit sein, noch bevor der erste Nutzer die Software verwendet. Ausgenommen sind hier verhältnismäßige Anpassungen an das eigene IT-System.
4. Werden die Sicherheitsfunktionen regelmäßig weiterentwickelt?
Die Bedrohungslage von IT-Systemen und Programmen verändert sich ständig und es gibt keinen Endzustand. Eine passende Lösung sollte daher immer auf der Höhe der Zeit sein und mit kontinuierlichen Updates weiterentwickelt werden.
5. Können Nutzer ohne spezielles technisches Vorwissen die Sicherheitsfunktionen nutzen?
Das ist wahrscheinlich eine der beiden entscheidenden Fragen in Bezug auf die Endnutzer. Eine sichere Bedienung sollte sich nicht hinter unzähligen Fenstern, Anmeldungen und Formularen verbergen und so leicht wie möglich sein.
6. Ist die Sicherheit gewährleistet, wenn Nutzer die Software auf eine erwartbare Art und Weise benutzen?
Das ist die zweite entscheidende Frage, die sich auf das Nutzerverhalten richtet. Wie wahrscheinlich ist eine (unabsichtlich oder absichtlich) unsichere Nutzung trotz Einhalten der SBD-Grundsätzen?
Mit SBD-Funktionen in Software-Lösungen haben IT-Verantwortliche mächtige Werkzeuge in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern. Daher empfiehlt es sich, bei der Suche und der Anschaffung neuer Software besonders auf diese zu achten. Sie bilden dabei einen wichtigen Teil innerhalb einer IT-Sicherheitsstrategie, der strukturelle Sicherheit erleichtert.
Die im Koalitionsvertrag der neuen deutschen Bundesregierung genannten weiteren Vorgaben hierzu können durchaus sinnvoll sein, um vor allem flächendeckend den Sicherheitsstandard von Software im EU-Raum zu erhöhen. Interessant wird hierbei besonders, wie die IT-Sicherheitsverantwortlichen den Spagat zwischen einfachen und sicheren Arbeiten meistern.
Über den Autor: Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI, wo er sich um Themen wie agiles Arbeiten und Innovationen kümmert. Er ist außerdem regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.
(ID:48172708)
:quality(80)/p7i.vogel.de/wcms/4e/37/4e37be52b2b885e096964caeeddfa43a/0106369633.jpeg "Unternehmen müssen bei Cloud-Datenbanken die Sicherheit von Anfag an im Blick behalten. Eine sichere Alternative sind DBaaS-Angebote: Der Anbieter übernimmt hier mehr Sicherheitsaspekte; die eigenen Admins werden so entlastet. (Bild: vectorfusionart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/f4/78f40b9b4101d4d69308cd0d67db1ff0/0110956704.jpeg "Hobby-Entwickler? Von wegen! Open-Source-User sind meist IT-Experten aus, die Software professionell nutzen. (Bild: A.B./peopleimages.com - stock.adobe.com)")