Startseite » IT-Sicherheit »

Bitkom will mit Leitfaden "Zur Sicherheit softwarebasierter Produkte" Verständnis für Software-Sicherheit etablieren

Leitfaden vom Bitkom
Bitkom will Verständnis für Software-Sicherheit etablieren

Software-Sicherheit müssen auch Laien verstehen, sagt der Bitkom. Er hat jetzt einen Leitfaden mit dem Titel "Zur Sicherheit softwarebasierter Produkte" veröffentlicht.
Der Bitkom möchte das Thema Software-Sicherheit für jeden verständlich aufarbeiten.
Bild: Michael Traitov/stock. adobe.com
Anzeige

Software und darauf basierende Produkte sind im Zuge der Digitalisierungs-Prozesse in Wirtschaft und Gesellschaft allgegenwärtig. Doch sie bringen auch Gefahren und Bedrohungsszenarien mit sich. Der Digitalverband Bitkom hat aus diesem Grund den Leitfaden „Zur Sicherheit softwarebasierter Produkte“ entwickelt. Er soll grundlegende Fragen zum Thema Sicherheit in der Herstellung und Verwendung von Software beantworten.

„Gut funktionierende, sichere Software ist die entscheidende Komponente für die künftige Wertschöpfung in Unternehmen“, sagt Frank Termer, Leiter des Bereichs Software beim Bitkom. Daher sei es von enormer Wichtigkeit, ein allgemeines Verständnis für Software-Sicherheit zu etablieren – auch jenseits der Fach-Community. Der Leitfaden „Zur Sicherheit softwarebasierter Produkte“ soll hierzu einen Beitrag leisten.

Unternehmen sollten aus Sicht des Bitkom sieben Fragen zur Software-Sicherheit allgemeinverständlich beantworten können. Nur so könnten auch Nicht-Fachleute dieses Thema verstehen. Diese sieben Fragen lauten:

1. Wie wird Software hergestellt?

An der Entwicklung von Software sind in der Regel viele Personen beteiligt. Der Prozess beginnt damit, Anforderungen an eine digitale Lösung oder ein zu entwickelndes IT-System einzuholen. Es folgt die Planung der Architektur der Software.

In den wenigsten Fällen müssen Entwickler einen Code komplett neu schreiben. Oft können sie auf Code-Bibliotheken zurückgreifen oder Software verwenden, deren Quelltext frei verfügbar ist (Open Source). Software enthält daher oft Versatzstücke aus anderer Software und wird für den speziellen Gebrauch angepasst.

Vor der Veröffentlichung wird Software idealerweise einem Stresstest unterzogen und mit Kunden unter realen Bedingungen getestet. Nach der Veröffentlichung ist aber nicht Schluss: Software muss regelmäßig überarbeitet werden.

2. Warum müssen so häufig Software-Updates durchgeführt werden?

Software muss regelmäßig angepasst werden, um den Nutzern ein bestmögliches Produkt anzubieten. Daher werden regelmäßige Updates benötigt.

In der Regel handelt es sich dabei um funktionale Updates. Diese werden etwa notwendig, wenn Service-Wartungen durchgeführt werden, oder wenn die Hersteller neue Funktionen der Software veröffentlichen. Gelegentlich werden auch Sicherheits-Updates durchgeführt, um auf neue Sicherheitslücken in der Software zu reagieren.

3. Warum ist Software nie ganz fehlerfrei?

Zwar reduzieren moderne Methoden und Werkzeuge zur Softwareentwicklung mögliche Fehlerquellen. Dennoch lassen sich Fehler, solange Software von Menschen erstellt wird, nicht grundsätzlich ausschließen.

Umfang und Komplexität von Software verhindern jedoch, dass solche Fehler vollständig durch analytische Verfahren, etwa Tests, mit einem vertretbaren Aufwand gefunden und vor Nutzung der Software beseitigt werden können.

4. Wie gewährleisten Hersteller trotzdem eine hohe Software-Qualität?

Unternehmen, die Software entwickeln, erreichen eine möglichst umfassende Qualität im Entwicklungsprozess durch „Security by Default“ und „Security by Design.“

Drei Aspekte sind dabei essenziell:

  1. Entsprechende Sicherheitswerkzeuge sollten in die eigentliche Software-Entwicklung integriert werden
  2. Sicherheit sollte als eine allgemeingültige Code-Kultur in den beteiligten Bereichen der Softwareentwicklung verankert werden
  3. Die Team-Organisation: Statt einzelne Teams in Silos nebeneinander zu stellen, sollte ein gesamtheitliches cross-funktionales Team geschaffen werden. Dieses sollte die drei Komponenten Entwicklung, Betrieb und Sicherheit gemeinsam vorantreiben und einen offenen Umgang mit Wissen pflegen

5. Was passiert, wenn Software-Fehler zu Schäden führen?

Wenn Software-Fehler auftreten, können Hersteller auch bei fehlenden Vertragsbeziehungen haftbar gemacht werden. Allerdings: Der Hersteller haftet nur, wenn ein Software-Fehler Schäden an Rechtsgütern mit besonderem Wert verursacht verursacht – also etwa Gesundheit oder Eigentum. Um die Haftung zu vermeiden, muss der Hersteller die aus dem Software-Fehler resultierende Gefahr beseitigen. Allgemeingültige Grundsätze lassen sich hierfür aber kaum aufstellen.

6. Woran können Nutzer „sichere“ Software erkennen?

Ein eindeutiger Beweis für sichere Software lässt sich nie liefern. Anerkannte Zertifikate können jedoch ein Indikator für qualitativ hochwertige Software sein.

Software kann allerdings trotz Zertifikaten nach wie vor fehlerhaft sein und Sicherheitsmängel aufweisen.

Wenn die benutzte Software nicht in Datenbanken für Schwachstellen wie OWASP, CWE, NVD, CAPEC, CVE, VDBs auftaucht, ist das ein weiterer Indikator für qualitativ hochwertige Software. Der Bitkom empfiehlt dringend, Software immer über vertrauenswürdige Lieferanten einzukaufen.

7. Wie können Nutzer zur Software-Sicherheit beitragen?

Eine elementare Voraussetzung für den sicheren Einsatz ist, dass die gesamte Technik auf dem aktuellen Stand der Entwicklung ist. Jedes nicht installierte Update stellt ein Risiko dar, wenn dadurch eine bekannte Sicherheitslücke offen bleibt.

Dabei ist die Aktualisierung der einzelnen Komponenten kein einmaliger Vorgang, sondern ein fortwährender Prozess. Nutzer können unerlaubte Zugriffe oder Missbrauch eher vermeiden, wenn sie ihre Programme an die eigene Arbeitsweise anpassen.

Den vollständigen Bitkom-Leitfaden „Zur Sicherheit softwarebasierter Produkte“ finden Sie auf der Website des Verbands zum kostenlosen Download. (wag)


Ebenfalls interessant:

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
Albrechtstraße 10
10117 Berlin-Mitte
Tel.: +49 30 2757 60
E-Mail: bitkom@bitkom.org
Website: www.bitkom.org

Ebenfalls interessant:

Diese 4 Dimensionen der Cyber-Sicherheit im Homeoffice sollten Sie beachten


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de