Angesichts Zahl und Qualität der Cyberangriffe wollen Regulierungsbehörden und Gesetzgeber die Hersteller mangelhafter Software strenger in die Pflicht nehmen. Da auch in industriellen Produkten häufig Software steckt, sollten auch Produzenten die Sicherheit ihrer Programmierungen methodisch absichern. In der Vergangenheit waren Softwareanbieter von der Haftung für Sicherheitsverletzungen durch Mängel an ihren Produkten weitgehend verschont. Mit der zunehmenden Abhängigkeit von Technologie und der Häufigkeit und Raffinesse von Cyber-Angriffen zeichnet sich jetzt jedoch ein Wandel ab. Regulierungsbehörden und Gesetzgeber erwägen, Softwareanbieter stärker zur Verantwortung zu ziehen und die Folgen eines Cyber-Angriffs zu übernehmen, wenn ihre Produkte nicht ein gesetzlich vorgeschriebenes Mindestmaß an Sicherheit bieten.
Erste Schritte in Deutschland und den USA
Bundesinnenministerin Nancy Faeser hat bereits 2022 beim 18. Deutschen IT-Sicherheitskongress angekündigt, eine Hersteller-Haftung umsetzen zu wollen. Die US-Regierung unter Joe Biden hat mit der kürzlich veröffentlichten National Cybersecurity Strategy ebenfalls einen ersten Schritt in diese Richtung unternommen. Die Übertragung der Verantwortung hätte unterschiedliche Folgen für die Softwareanbieter. Beispielsweise könnte die zusätzliche Verantwortung für bestimmte Qualitätsstandards von Softwareprodukten und -dienstleistungen zu höheren Kosten oder Änderungen in den Herstellungsverfahren führen. Möglicherweise müssen die Anbieter mehr in Tests, Qualitätssicherung und Security-Maßnahmen investieren. Darüber hinaus kann eine verschärfte Haftung auch zu Änderungen bei Softwareverträgen und Garantien führen, da sich die Anbieter gegen mögliche Klagen und Schäden aufgrund von Softwarefehlern absichern müssen.
1. Sichere Codierung und Bedrohungsmodellierung
Eine sichere Codierung ist für die Entwicklung sicherer und robuster Anwendungen unerlässlich. Zu ihren wichtigsten Bestandteilen gehören die Eingabevalidierung, die Authentifizierung und Autorisierung, eine sichere Kommunikation, Fehlerbehandlung, Zugriffskontrolle sowie Sicherheit bei der Konfiguration, ebenso wie die Überprüfung des Codes.
Softwarehersteller sollten auch potenzielle Sicherheitslücken in einem System oder einer Anwendung identifizieren und unverzüglich Maßnahmen zu deren Behebung ergreifen. Dazu zählen unter anderem das Identifizieren von Schwachstellen im Design, in der Konfiguration oder in der Implementierung der Anwendung, die Erkennung potenzieller Angriffsvektoren sowie das Einrichten von Sicherheitskontrollen.
2. Software Bill of Materials Management (SBOMs)
SBOMs listen alle Komponenten einer Softwareanwendung auf, einschließlich Bibliotheken und Frameworks. Als wesentlicher Bestandteil der Softwareentwicklung können SBOMs dabei helfen, potenzielle Schwachstellen zum Beispiel in Lieferketten, Risiken in Komponenten und Abhängigkeiten von Drittanbietern zu identifizieren. Außerdem unterstützen sie Unternehmen bei der Einhaltung von Branchenvorschriften und -standards und der Zusammenarbeit zwischen verschiedenen Entwicklungsteams. Mithilfe von SBOMs können Unternehmen ihr Risikomanagement in der Lieferkette verbessern, Sicherheitsverletzungen eindämmen und für eine bessere Einhaltung von Open-Source-Lizenzanforderungen sorgen.
3. Penetrationstests und Konfigurationsmanagement
Penetrationstests bilden das zentrale Element einer umfassenden Sicherheitstest-Strategie. Das Konfigurationsmanagement beinhaltet die Definition und Durchsetzung von Sicherheitsrichtlinien und Best Practices für die Systemkonfiguration. Ein sicheres Konfigurationsmanagement umfasst mehrere zentrale Komponenten wie Standardkonfigurationen, Änderungsmanagement, Sicherheitskontrollen sowie das Schwachstellen- und Patchmanagement. Damit werden häufige Sicherheitslücken in Anwendungen vermieden.
4. Zugriffskontrolle und Sicherheitsschulungen
Sensible Daten, Funktionen und Ressourcen sollten nur autorisierten Benutzern oder Systemen zugänglich sein. Sicherheitsschulungen vermitteln den Entwicklern die notwendigen Fähigkeiten und Kenntnisse, um sichere Software zu entwickeln und Schwachstellen einzudämmen.
5. Reaktion auf Vorfälle und kontinuierliche Überwachung
Definierte Reaktionen auf Sicherheitsvorfälle und Schwachstellen in Anwendungen sind ein wesentlicher Bestandteil der Softwareentwicklung. Die Hersteller sollten ihre Systemprotokolle, den Netzwerkverkehr und das Benutzerverhalten kontinuierlich auf Anzeichen von Sicherheitslücken oder -verletzungen analysieren.
www.veritas.com
