Forschung und Entwicklung

Was haben US-Sanktionen mit Technologie zu tun?

Veröffentlicht am

Bad Vil­bel, 13.5.2018, GGro­ße. Im Allein­gang hat der ame­ri­ka­ni­sche Prä­si­dent die inter­na­tio­na­len Ver­trä­ge mit dem Iran gekün­digt. Als Kon­se­quenz ver­langt er von allen Unter­neh­men, die mit Ame­ri­ka wei­ter­hin Geschäf­te durch­füh­ren möch­ten, ihre Iran-Bezie­hun­gen eben­falls ein­zu­stel­len.

Unab­hän­gig von den Fra­gen, ob die­se Art der Poli­tik als fair, stra­te­gisch geschickt oder ego­is­tisch bezeich­net wer­den soll­te, gebie­tet es die Situa­ti­on, über die eige­ne Stär­ke nach­zu­den­ken. Es erscheint mehr als unbe­frie­di­gend, dass ein ein­zel­nes Land den euro­päi­schen Wirt­schafts­raum mit mehr als 500 Mio. Men­schen vor sich her­trei­ben kann und die Poli­ti­ker dabei nur hilf­los mit den Ach­seln zucken kön­nen. 2011 haben bei­spiels­wei­se welt­weit auf­ge­stell­te Unter­neh­men wie Ebay und Paypal ihre euro­päi­schen Kun­den aus poli­ti­schen Grün­den dazu gezwun­gen, ihre Kuba-Geschäf­te ein­zu­stel­len. Ebay hat dazu ein­fach die Shops von betrof­fe­nen Händ­lern gesperrt. Natür­lich ist dies recht­lich nicht in Ord­nung, effek­tiv war es alle mal.

Da die wirt­schaft­li­che Stär­ke ein offen­sicht­li­ches Kri­te­ri­um für die Durch­set­zung poli­ti­scher Inter­es­sen ist, wäre es für Euro­pa und Deutsch­land rat­sam, gezielt die Tech­no­lo­gie­füh­rer­schaft in stra­te­gisch ent­schei­den­den Wirt­schafts­fel­dern anzu­stre­ben. Beson­ders span­nend sind dabei Tech­no­lo­gi­en, die einem Qua­si-Mono­pol ent­spre­chen und die man schnell und ziel­ge­nau abschal­ten kann. Gute Bei­spie­le sind Micro­soft, Ama­zon und Goog­le, die auf Kon­to­zu­gän­gen beru­hen und bei denen ein Abschal­ten für den Anbie­ter nur begrenz­te Nach­tei­le mit sich bringt. Im Gegen­satz dazu kann mit einem Vor­sprung im Bereich Indus­trie 4.0 weit weni­ger Druck aus­ge­übt und Auf­se­hen erzeugt wer­den.

Was also ist zu tun?

  1. Unter poli­ti­scher Füh­rung soll­te ein Akti­ons­plan zur Iden­ti­fi­ka­ti­on und Ent­wick­lung stra­te­gisch rele­van­ter Tech­no­lo­gi­en ins Leben geru­fen wer­den. Im Anschluss soll­ten in den exis­tie­ren­den För­der­pro­gram­men die Anträ­ge prio­ri­siert wer­den, die die­sen Zie­len zuar­bei­ten.
  2. Es muss dar­auf hin­ge­ar­bei­tet wer­den, dass der euro­päi­sche Wirt­schafts­raum sei­ne Anstren­gun­gen hin­sicht­lich der iden­ti­fi­zier­ten Tech­no­lo­gi­en abstimmt. Nur als Euro­pa sind wir stark genug, um gegen die USA und Chi­na zu bestehen. Kon­kret soll­te daher die Lis­te der rele­van­ten Tech­no­lo­gi­en gleich mit den euro­päi­schen Part­nern abge­spro­chen wer­den.
  3. Der deut­sche Markt als größ­ter Bin­nen­markt der EU soll­te den euro­päi­schen Part­nern stär­ker geöff­net wer­den. Ein wich­ti­ger Grund, war­um Tech­no­lo­gi­en in den USA schnel­ler an Rele­vanz gewin­nen und daher mit mehr Start­ka­pi­tal unter­legt wer­den, liegt an dem sehr gro­ßen und in punc­to Spra­che und Lebens­ver­hält­nis­se sehr homo­ge­nen Bin­nen­markt. Die­ser Nach­teil kann nur mit und durch Deutsch­land aus­ge­gli­chen wer­den. Es wäre also zu über­le­gen, wie man den deut­schen Markt zum Kata­ly­sa­tor für Euro­pa und den Welt­markt ent­wi­ckeln kann.

Man beden­ke, dass schon allei­ne die Kon­kre­ti­sie­rung der Inno­va­ti­ons­an­stren­gun­gen und die Abstim­mung für einen posi­ti­ven Effekt sor­gen wer­den. Der finan­zi­el­le Mehr­auf­wand gegen­über den heu­ti­gen Aus­ga­ben beschränkt sich also erst mal ledig­lich auf die Koor­di­na­ti­on.

Gesellschaft

Treffen der Spione und Zero-Day Skandale

Veröffentlicht am

Es klingt wie aus einem schlech­ten Spio­na­ge­film und ist doch Rea­li­tät. Vor zwei Jah­ren, so kam jetzt her­aus, kamen Syn­er­gi­en zusam­men, die so man­chen Mana­ger zum Träu­men bewe­gen könn­ten: Ein PC wur­de von einem NSA-Mit­ar­bei­ter genutzt, vom Rus­sen aus­spio­niert und vom Israe­li gemel­det. Was ist denn hier pas­siert? Der Wahn­witz der Cyber­si­cher­heit und war­um die­se so nie­mals funk­tio­nie­ren wird, ist bei den Geheim­diens­ten wohl zur Rea­li­tät gewor­den. Rechts­freie Räu­me sind wir ja schon genau­so gewohnt, aber die­ser Zufall hat dem gan­zen ein kurio­ses Gesicht ver­lie­hen. Soft­ware, die zum Scha­den ande­rer Nut­zer geschrie­ben wur­de, ist Mal­wa­re — egal, wer der Urhe­ber ist. Fol­ge­rich­tig hat­te damals auch der Anti­vi­ren­scan­ner von Kas­pers­ky Alarm geschla­gen. Beab­sich­tigt war das wohl nicht. Rus­si­sche Hacker hat das dann, wie auch immer gear­tet, auf die Spur gebracht und die haben sich den NSA Schad­code gegrif­fen — wahr­schein­lich zur spä­te­ren Ana­ly­se. Beob­ach­tet wur­de das gan­ze von einem Cyber­spi­on aus Isra­el, der es dann den Freun­den bei der NSA gesteckt hat.

Was im bis­her geschil­der­ten Bei­spiel eine fast schon lus­ti­ge Bege­ben­heit dar­stellt, wird für ech­te Anwen­der zur Gefahr. Schutz­los einer Heer­schar von Spionen/Hackern und Tools aus­ge­setzt, kommt aber nun noch eins oben drauf. Spä­tes­tens seit Wan­na­Cry soll­te unse­re Bun­des­re­gie­rung wis­sen, dass das Aus­nut­zen und Ver­schwei­gen von Zero-Day Lücken eine sel­ten däm­li­che Ange­le­gen­heit ist. Trotz­dem wird momen­tan debat­tiert und es sieht wie immer nicht gut aus für den Rechts­staat und die Demo­kra­tie. Es ist ein Skan­dal, wie im  Namen von irgend­was Men­schen der Gefahr durch Cyber­at­ta­cken von wel­cher Quel­le auch immer aus­ge­setzt wer­den. Das gefähr­det den Stand­ort Deutsch­land als die Hoch­burg für IT-Secu­ri­ty Pro­duk­te. Man ver­traut deut­schen Pro­duk­ten und ent­ge­gen eini­ger Lai­en­kom­men­ta­re bei diver­sen IT-Foren sind die Leu­te vom BSI auf einer Mis­si­on, um die IT-Sicher­heit Stück für Stück zu gewähr­leis­ten. Beim letz­ten Tref­fen der ACS am 01.09. habe ich haut­nah mit­er­le­ben kön­nen, wie der Prä­si­dent des BSI an die Zuhö­rer appel­liert hat, sich für die IT-Sicher­heit stark zu machen und Deutsch­land zu einem Leucht­turm in Euro­pa und der Welt zu machen. Zu uns sol­len die Unter­neh­men kom­men, wenn sie auf Sicher­heit set­zen wol­len. Da wür­de es der Regie­rung gut zu Gesicht ste­hen, end­lich die Ver­trau­ens­kul­tur zu för­dern, die offen­sicht­lich als Auf­trag an das BSI gege­ben wur­de. Alles ande­re wäre ein Skan­dal.

Gesellschaft

Lernprozesse rund um die IT-Security

Veröffentlicht am

Es ver­geht im Moment mal wie­der kein Tag, ohne das offen­bar wird, dass IT-Sicher­heit noch nicht als ganz­heit­li­ches Ele­ment ver­stan­den wird. Wie­der ein­mal steht die Fra­ge im Raum, war­um das The­ma Sicher­heit in Unter­neh­men eine gro­ße Bau­stel­le zu sein scheint, wo wir doch gute Werk­zeu­ge hät­ten, um vie­le Pro­ble­me abzu­fan­gen, bevor die­se in der Pres­se zum Kopf­schüt­teln füh­ren. Neh­men wir doch Daim­lers “neue Kri­se” um Wan­na­Cry. Das Virus ist inzwi­schen alt genug, dass es als “Uralt­pro­blem” betrach­tet wer­den kann. Es gibt die not­wen­di­gen Patches, selbst Viren­scan­ner haben den Hash­wert zum Schäd­ling schon lan­ge in der Daten­bank und wei­te­re Infra­struk­tur­maß­nah­men könn­ten das Virus leicht am Vor­wärts­kom­men hin­dern. Trotz­dem konn­te es wie­der Fuß fas­sen.

Wem das aber viel­leicht schon in der See­le weh getan hat, dass ein DAX Kon­zern nicht knall­hart inno­va­ti­ve Sicher­heit und ganz­heit­li­che Kon­zep­te ver­folgt, der konn­te bei Deloit­te sicher­lich mehr als ein Haar in der Sup­pe fin­den. Offe­ne Ports.… Offe­ne Ports? Offe­ne Ports!!! War es denn so schwer für die NASA die übli­che Back­door zu neh­men — oder hat wenigs­tens die­se Lei­tungs­ver­schlüs­se­lung und einen Pass­wort­zu­gang? Wer sein Brot & But­ter Geschäft so schlei­fen lässt, wird in Zukunft am Markt einen schwe­ren Zugang im Bereich IT-Secu­ri­ty fin­den. Ande­rer­seits gibt es ja auch ande­re bekann­te Unter­neh­men, die ver­gess­lich in Sachen Qua­li­tät und Sicher­heit sind. Bleibt nur die Erkennt­nis der Woche frei nach Fefe: “Es ist unmo­ra­lisch schlech­te Soft­ware zu ver­brei­ten!”. Bleibt nur die Fra­ge, ob es auch schlecht fürs Geschäft ist.

Gesellschaft

Meinung: Passworte verstehen Menschen nicht

Veröffentlicht am

Die Erfin­dung des Pass­worts (für Com­pu­ter) war die Stern­stun­de der IT-Sicher­heit. Nie­mals wie­der soll­te jeder Nut­zer unbe­darft alles lesen oder sehen kön­nen. Wir waren an einem Punkt ange­langt, wo Com­pu­ter so leis­tungs­fä­hig waren, dass vie­le Nut­zer von einem Sys­tem pro­fi­tie­ren konn­ten. Doch wie ist die Situa­ti­on in der Gegen­wart? Es hat uns eine regel­rech­te Flut an Pass­wor­ten erreicht — eben­so wie eine Flut an Sys­te­men die von einer unvor­stell­bar gro­ßen Zahl an Nut­zern zugleich genutzt wer­den. Immer wie­der wird ver­kün­det: ein Pass­wort muss dies kön­nen, ein Pass­wort muss das kön­nen… Sicher soll es sein, ein­zig­ar­tig und natür­lich unheim­lich schwer zu raten, denn das ist theo­re­tisch der ein­zi­ge Knack­punkt. Wenn ich zufäl­lig das rich­ti­ge Pass­wort ein­ge­be, kom­me ich schon beim ers­ten Ver­such rein und all die Mühe war für die Katz!

Dies hat die Situa­ti­on geschaf­fen, dass jedes sel­ten benutz­te Pass­wort ein Hin­der­nis wer­den kann, wenn der Dienst doch mal gebraucht wird. Abhil­fe schafft das berühm­te Pass­wort 123456! Dies steht im Gegen­satz zu Emp­feh­lun­gen des BSI. Zwölf Zei­chen für Online­zu­gän­ge — min­des­tens und für das WLAN bes­ser 20 oder mehr. Hin­zu kom­men die vie­len Zwangs­lo­gin­kon­ten und selbst bei einem Dienst­leis­ter kön­nen auch mal meh­re­re, kom­ple­xe Pass­wor­te ange­legt wer­den.

Unser Appell an die­ser Stel­le: ein ver­ant­wor­tungs­be­wuss­ter Umgang mit Pass­wor­ten, aber auch mit Accounts. Die­ser dau­er­haf­te Zwang zur Authen­ti­fi­zie­rung (und sonst teils Ver­wei­ge­rung aller Diens­te) und der Bin­dung ans Inter­net ist uns ein Dorn im Auge. Wir sehen Pass­wor­te als wert­vol­les Mit­tel, um eini­ge Diens­te oder Infra­struk­tur abzu­si­chern, aber dau­er­haft wer­den wir in die­sem Netz­werk auch das Pro­blem der Authen­ti­fi­zie­rung ange­hen müs­sen. Damit es am Ende nicht heißt: die­ses Pass­wort ist geheim!

IT-Security

Broken by design

Veröffentlicht am

Micro­soft Win­dows hat den unrühm­li­chen Sta­tus als Ursa­che so man­cher Sicher­heits­pro­ble­me in der moder­nen IT-Land­schaft erwor­ben. Das die­ser nicht von unge­fähr kommt, zeigt auch ein neu­er Arti­kel über eine wei­te­re Metho­de namens Ghost­Hook, mit der sich Angrei­fer die höchs­te Befehls­ge­walt auf der Maschi­ne über die Aus­nut­zung einer fal­schen Behand­lung eines Debug­ger in Win­dows zu eigen machen. Micro­soft selbst stuft die Lücke als nicht kri­tisch ein, da der Schäd­ling ja schon im Ker­nel Code aus­füh­ren kön­nen muss.
Was dabei vom Soft­ware­rie­sen über­se­hen wird, dass die aus­ge­tricks­te Soft­ware­kom­po­nen­te im Ker­nel namens Patch­Guard genau die­se Art von Angrif­fen hät­te ver­hin­dern sol­len. Inter­es­sant der Hin­weis von einem deut­schen New­s­por­tal an die­ser Stel­le: schon 2005 haben zwei Hacker gezeigt, wie man mit etwas Fleiß und Assem­bler die “Sicher­heits­maß­nah­men” von Micro­soft umge­hen kann, da der Patch­Guard kein höhe­res Sicher­heits­le­vel als der Ker­nel selbst hat. Soft­ware­ent­wick­ler nen­nen so einen Sach­ver­halt “bro­ken by design” — also ein nicht mehr zu ret­ten­des Unter­fan­gen, dass wahr­schein­lich dar­an geschei­tert ist, dass Micro­soft Hin­ter­tü­ren eine Mög­lich­keit geben woll­te oder muss­te, sich in Win­dows ein­zu­pflan­zen.

Es soll­te an die­ser Stel­le ein­mal mehr über­legt wer­den, ob die Bequem­lich­keit der Infra­struk­tur aus einem Guss nicht immer mehr zu einem Hin­der­nis auf dem Weg zu ernst­haft abge­si­cher­ter IT wird. Nur die Zeit wird zei­gen, wel­che Evo­lu­ti­on sich in der Soft­ware­indus­trie an die­ser Stel­le letzt­lich durch­setzt.

Gesellschaft

Staatstrojaner: Kein gutes Pferd

Veröffentlicht am

Die Tage muss sich der Bür­ger noch mehr Luft zufä­cheln. Der war­me Som­mer hält die Repu­blik noch fest im Griff, da pus­tet auch durch das Par­la­ment ein hei­ßer Wind. Die Rede ist vom Gesetz zum Staats­tro­ja­ner. Eine Schad­soft­ware, die ent­wi­ckelt wur­de, um Infor­ma­tio­nen von tech­ni­schen Gerä­ten unbe­merkt zu beschaf­fen. Der Nut­zer soll ein­fach wei­ter­ma­chen wie bis­her und falls die Taten böse waren, wird der gut­mü­ti­ge Staat die­sem Ver­bre­cher das Hand­werk legen. Nun ist die Beschaf­fung von straf­recht­lich Rele­van­ter Infor­ma­ti­on in der Tat das täg­li­che Brot von Ermitt­lern. Die­se gehen hin, beob­ach­ten und dür­fen vie­ler­lei nicht. Sie dür­fen nicht in Woh­nun­gen ein­bre­chen, sie dür­fen Men­schen nicht zu Aus­sa­gen nöti­gen. Doch es gibt Aus­nah­men: Wenn eine erns­te Bedro­hungs­si­tua­ti­on besteht (auch “Gefahr im Ver­zug”), die bei­spiels­wei­se Men­schen­le­ben bedroht, so darf der Ermitt­lungs­be­am­te auf­grund einer berech­tig­ten Annah­me aus­nahms­wei­se die rote Linie über­tre­ten und han­deln. So etwas wird bei der Poli­zei jedoch nicht leicht­fer­tig und schon gar nicht in Mas­sen ange­wandt. Hier kommt der Staats­tro­ja­ner ins Spiel. Die­ser Schäd­ling kann poten­ti­ell alle Bür­ger und Unter­neh­men angrei­fen und führt “Ermitt­lun­gen” durch, deren Dau­er als auch recht­li­cher Ermes­sens­spiel­raum schnell ver­schwim­men kön­nen. Das Gesetzt sieht eine Viel­zahl von Delik­ten vor, in denen ein Staats­tro­ja­ner legal ein­ge­setzt wer­den darf. Die Lis­te ist lang und kann hier betrach­tet wer­den. Wäh­rend Mord noch irgend­wo ver­ständ­lich sein könn­te, ist Betrug sicher­lich kein Ver­bre­chen, wel­ches eine solch mas­si­ve Über­wa­chung recht­fer­tigt.

Vom Miss­brauchs­po­ten­ti­al abge­se­hen, gibt es einen viel grö­ße­ren Aspekt zu beach­ten: Hat nicht erst Wan­na­Cry gezeigt, dass von staat­li­chen Insti­tu­tio­nen aus­ge­nutz­te Lücken eine Bedro­hung für die Sicher­heit aller sein kann? Wie recht­fer­ti­gen die soge­nann­ten Exper­ten im Bun­des­tag, dass alle eige­nen Bür­ger vom Staat einer poten­ti­el­len Bedro­hung und Miss­brauch von, nen­nen wir es beim Namen, Schad­soft­ware aus­ge­setzt sind, nur um dem Staat mehr Poten­ti­al zur Spio­na­ge ein­zu­räu­men? Die­ses Stück Soft­ware gehört aus gutem Grund ver­bo­ten und viel­mehr soll­ten Demo­kra­tie und das Mit­ein­an­der gestärkt wer­den. Denn vie­le ech­te Ver­bre­chen haben auch nicht sel­ten einen trau­ri­gen Hin­ter­grund — kei­ner woll­te so rich­tig hin­se­hen.

Meinung

Meinung: Sind wir noch in der “Nerd-Ecke”?

Veröffentlicht am

Heu­te hat in Münn­chen der “Tele­kom Fach­kon­gress Man­gen­ta Secu­ri­ty 2017” begon­nen und wirbt dafür bei Twit­ter mit fol­gen­dem Zitat vom Sicher­heits­chef der Tele­kom: “Sicher­heit ist ein wich­ti­ger Busi­ness­trei­ber und muss aus der ‘Nerd-Ecke’ raus”. Mir stellt sich sogleich die Fra­ge: Ist IT-Secu­ri­ty nicht schon längst der “Nerd-Ecke” ent­flo­hen? Gibt es einen Tag, an dem nicht über IT-Secu­ri­ty als Pro­blem gespro­chen wird? War nicht neu­lich der Digi­tal Kon­gress 2017, wel­cher zu dem Ergeb­nis kam, dass IT-Secu­ri­ty ein wich­ti­ges The­ma ist? Über­ra­schend!? Hat sich nicht sogar die Bun­des­re­gie­rung laut den BSI-Reports mehr­fach IT-Secu­ri­ty auf die Agen­da geschrie­ben?

Wor­an liegt es also, dass IT-Secu­ri­ty noch in eine Ecke gedrängt sein soll? Und sind wirk­lich 90% der Bedro­hun­gen abge­grif­fen, wenn Sys­te­me aktu­ell gehal­ten wer­den?  Ich bin da etwas kon­ser­va­ti­ver als die Red­ner, die sich zur Auf­ga­be gemacht haben, für die Wich­tig­keit von IT-Secu­ri­ty zu wer­ben. Ich stim­me zu, dass IT-Secu­ri­ty nicht nur sei­ne Lob­by in Deutsch­land braucht (aber auch schon hat), son­dern dass auch mehr umge­setzt wer­den muss. Ich bin der Mei­nung, dass immer mehr Unter­neh­men erken­nen, dass die Zei­ten vor­bei sind, in denen eine neue Tech­no­lo­gie sorg­los über­nom­men wer­den konn­te. Ich bin jedoch eben­so über­zeugt, dass sich CISOs und ande­re Sicher­heits­be­auf­trag­te mehr Unter­stüt­zung wün­schen. Was nutzt es denn, die ergie­bigs­ten Maß­nah­men zu ken­nen, wenn die­se nicht umge­setzt wer­den dür­fen? Oder wenn auch mal abseits der Soft­ware­rie­sen sich Lösun­gen offen­ba­ren, die auf lan­ge Sicht Lin­de­rung des Leids ver­schaf­fen wür­den, aber am Ende alle User die angeb­lich leicht zu bedie­nen­den Lösun­gen aus kali­for­ni­schem Hau­se wol­len?

Wir brau­chen vor allen Din­gen eine neue Inno­va­ti­ons­kul­tur für IT-Secu­ri­ty. Ähn­lich der Bio­lo­gie kön­nen wir auf lan­ge Sicht in der IT nur über­le­ben, wenn wir nicht nur eine homo­ge­ne Mas­se bil­den, son­dern auch Muta­tio­nen und Aus­brü­che erlau­ben kön­nen, dass die Sys­te­me dem Angrei­fer nicht alle gleich daher kom­men. Denn ähn­lich einer Epi­de­mie von Viren kön­nen sich Wan­na­Cry und Kon­sor­ten nur so gut ver­brei­ten, weil das Virus eine Schnitt­stel­le vor­fin­det, die bei allen Sys­te­men gleich ist — offen und gefähr­lich.

Meinung

Überfordert IT-Security Vorstände?

Veröffentlicht am

Laut einer Stu­die “füh­len sich vie­le Füh­rungs­kräf­te ange­sichts der Bedro­hun­gen aus dem Cyber­space über­for­dert”.
Eine Beschrei­bung der Stu­die fin­det sich hier. Es wer­den Fak­ten auf­ge­zählt, die Stu­die dringt jedoch nicht zum Kern des Pro­blems durch. Die­ser ist nicht, dass über 40% der befrag­ten Unter­neh­men ange­ge­ben haben, dass sie schon Opfer eines Daten­dieb­stahls gewe­sen sind. Es ist eine ande­re Fra­ge. War­um ist es über­haupt so weit gekom­men? Wie kön­nen sich Unter­neh­men unzu­rei­chend abge­si­chert füh­len, wo die Unter­neh­men oft Infor­ma­ti­ons­tech­no­lo­gie schon lan­ge ein­set­zen und es Cyber­an­grif­fe nun wahr­lich nicht erst seit ges­tern gibt!? Die Ant­wort liegt auf der Hand. Es geht um das ein­ge­plan­te Bud­get. Sicher­heit kos­tet Geld. Ein ein­fa­ches Bei­spiel aus dem eige­nen All­tag: ein­fa­che Schließ­an­la­gen (4 Zylin­der, 20 Schlüs­sel) sind bei Auk­ti­ons­platt­for­men schon für etwa 15€ zu bekom­men. Es liegt kei­ne Schlüs­sel­kar­te vor, es ist kein Sicher­heits­schloss, das Pro­duk­ti­ons­land und Her­stel­ler sind eben­so frag­lich. Die Zylin­der kön­nen mit den Schlüs­seln auf- und zuge­schlos­sen wer­den. Nicht mehr und nicht weni­ger. Die­ses Ange­bot eig­net sich, um eine Per­son vom her­ein­spa­zie­ren abzu­hal­ten. Ein erfah­re­ner Ein­bre­cher sieht in die­sem Schloss kei­ne Hür­de. Wie hoch muss also die Hür­de sein, damit Fir­men nicht nur Gele­gen­heits- oder Zufalls­at­ta­cken, son­dern auch auf spe­zi­ell auf die betrof­fe­ne Fir­ma aus­ge­rich­te­te Atta­cken abweh­ren? Eine kur­ze Pau­schal­ant­wort exis­tiert nicht. Im Netz­werk gehen wir auf die­se Pro­ble­ma­tik ein und haben erkannt, dass wir eine Bedro­hungs­land­kar­te auf­bau­en müs­sen. Wenn bekannt ist, was an Angrif­fen zu erwar­ten ist, so kann abge­wo­gen wer­den, wel­che Maß­nah­men viel­ver­spre­chend und hin­rei­chend sind, um das Risi­ko eines Scha­dens in der eige­nen IT-Infra­struk­tur zu mini­mie­ren. Dabei hel­fen inno­va­ti­ve Lösun­gen, da sie abseits der aus­ge­tre­te­nen Pfa­de kos­ten­güns­ti­ge Lösun­gen dar­stel­len, die Bedar­fe abde­cken, die sich Unter­neh­men vor­her so nicht leis­ten konn­ten oder Diens­te anbie­ten, die es in die­ser Form noch nicht gege­ben hat.

Wir glau­ben also, dass die Vor­stän­de zu einer Ent­schei­dung fähig sind. Sie kön­nen Bud­get frei­ge­ben und CISOs benen­nen, um eine Abwehr auf­zu­bau­en. Dabei müs­sen sie mit der muti­gen Visi­on her­an­ge­hen, dass IT-Secu­ri­ty kein ver­lo­re­nes Bud­get ist, son­dern eine Inves­ti­ti­on in den dau­er­haf­ten Bestand der haus­ei­ge­nen IT und letzt­lich in das Ver­trau­en der Nut­zer.

Meinung

Wachsender Konkurrenzdruck, immer kürzerer Time-to-Market und immer schnellere Entwicklungszyklen — Ein Schritt zurück in Sachen Software-Qualität? Experten-Netzwerk unterstützt IT-Leiter

Veröffentlicht am

Die Ent­wick­lung moder­ner Soft­ware geht heut­zu­ta­ge mit beson­de­ren Her­aus­for­de­run­gen ein­her: Selbst klei­ne­re Anwen­dun­gen wer­den durch Ver­net­zung immer kom­ple­xer und die Akzep­tanz der Nut­zer, und somit die funk­tio­na­le Kor­rekt­heit, rückt extrem in den Vor­der­grund. Als Fol­ge wer­den Qua­li­täts­as­pek­te wie Wart­bar­keit und ins­be­son­de­re das The­ma Secu­ri­ty oft­mals ver­nach­läs­sigt. Doch wie kön­nen IT-Lei­ter die­sem gefühl­ten Rück­schritt begeg­nen? Ein die­ser The­ma­tik gewid­me­tes Exper­ten-Netz­werk unter­stützt IT-Lei­ter bei der Bewäl­ti­gung der genann­ten Her­aus­for­de­run­gen.

Es gibt sehr gute Metho­den und Werk­zeu­ge, mit denen man den Ent­wick­lungs­pro­zess effek­tiv unter­stüt­zen kann. Vom ein­ma­li­gen Audit bis zur Inte­gra­ti­on von Werk­zeu­gen, die bestimm­te Qua­li­täts­as­pek­te über­prü­fen, in den Ent­wick­lungs­pro­zess ist in den letz­ten Jah­ren sehr viel hin­zu­ge­kom­men”, weiß Dr. Thors­ten Arendt, Lei­ter des Netz­werks ‘Soft­ware­ent­wick­lung, Qua­li­täts­si­che­rung und Tes­ten von Soft­ware­ge­wer­ken’ bei der GFFT Inno­va­ti­ons­för­de­rung, zu berich­ten. Mit der Inte­gra­ti­on in die Werk­zeug­ket­te allein ist es jedoch nicht getan: “Qua­li­täts­si­che­rung muss als fixer Bau­stein in den Pro­zess ein­ge­ar­bei­tet und Para­me­ter müs­sen pro­jekt-spe­zi­fisch gesetzt wer­den.” Nur so kann die Qua­li­tät von moder­ner Soft­ware nach­hal­tig gesi­chert wer­den. Ein Spe­zi­al­fall ist der seit Jah­ren eta­blier­te Trend des Out­sour­cings von Ent­wick­lungs­ak­ti­vi­tä­ten. “Hier soll­ten Richt­li­ni­en und qua­li­ta­ti­ve Kri­te­ri­en für die Abnah­me der Soft­ware bereits in der Aus­schrei­bungs­pha­se berück­sich­tigt wer­den und in die Ver­trags­ge­stal­tung mit ein­flie­ßen”, so Arendt.

Die GFFT Inno­va­ti­ons­för­de­rung unter­stützt IT-Lei­ter bei der Bewäl­ti­gung der genann­ten Her­aus­for­de­run­gen, z.B. durch die Aus­wahl und Vor­stel­lun­gen von inno­va­ti­ven Tech­no­lo­gi­en zu kon­kre­ten Fra­ge­stel­lun­gen. Hier­bei wird das bei der GFFT bereits eta­blier­te Work­shop-For­mat der Tech­no­lo­gy Races zur Wei­ter­bil­dung der IT-Lei­ter ein­ge­setzt. Jeder Work­shop umfasst eine Rei­he von Kurz­vor­trä­gen (Speed Lec­tures), die in prä­gnan­ter Form in der Pra­xis erprob­te, sehr inno­va­ti­ve Werk­zeu­ge und Metho­den vor­stel­len.