Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland konstatieren wir eine zunehmend vielschichtige, auf hohem Niveau angespannte Bedrohungslage. So ist etwa die Zahl der bekannten Schadprogramme auf über 800 Millionen gestiegen; pro Tag werden rund 390.000 neue Varianten entdeckt. Eines der Haupteinfallstore für Cyber-Angriffe sind nach wie vor Sicherheitslücken in Software. Die Anzahl der bekannt gewordenen Schwachstellen in vom BSI regelmäßig betrachteten Softwareprodukten war auch 2018 auf einem sehr hohen Niveau und es ist keine Entwarnung in Sicht. Die massiv gestiegene Komplexität von Endanwendungen, die Vielzahl von externen Abhängigkeiten, Geschwindigkeitsoptimierungen zulasten der Sicherheit oder das Fehlen von Sicherheitsupdates seitens mancher Hersteller führen dazu, dass weiterhin unsichere Software-Produkte auf den Markt gelangen.
Die Käufer beziehungsweise Endanwender haben in der Regel wenig Möglichkeiten, die IT-Sicherheit eines Softwareprodukts zu beurteilen oder selbst zu testen. Händler sind daher aufgefordert, hier für die nötige Transparenz zu sorgen. Insbesondere sind aber die Hersteller in der Pflicht. Sie müssen Sicherheit über den gesamten Entwicklungsprozess hinweg mitdenken und die Leitprinzipien „Security-by-design“ und „Security-by-default“ von Anfang an berücksichtigen. Dabei ist eine strenge Qualitätssicherung unabdingbar, um mögliche Schwachstellen oder Sicherheitsrisiken noch in der Entwicklung abzufangen. Ganz wichtig ist dabei, dass das Testing sich nicht auf Funktionstests beschränkt, sondern insbesondere auch die Sicherheitsanforderungen an die jeweilige Anwendung in den Blick nimmt. Zugriffsrechte, die Sicherheit der verarbeiteten Daten, aber auch Dokumentation und ein sicherer Betrieb sind unbedingt zu berücksichtigen.
Die Erhöhung der Cyber-Sicherheit in allen Bereichen der Digitalisierung ist das zentrale Anliegen des BSI als der nationalen Sicherheitsbehörde. Die Sicherheit von Software spielt hier eine nicht zu unterschätzende Rolle, ob in Smart Home und Büro, Gesundheitswesen und öffentlicher Verwaltung, industrieller Fertigung oder in unseren kritischen Infrastrukturen.
Auf Basis seiner technisch tiefgehenden Expertise verfügt das BSI über eine integrierte Wertschöpfungskette der Cyber-Sicherheit – von der Cyber-Abwehr über die Beratung und Entwicklung sicherheitstechnischer Lösungen bis hin zur Standardisierung und Zertifizierung.
Softwareentwicklern und -testern kann ich beispielsweise einen Blick auf den „Baustein CON.8 Software-Entwicklung CD“1 im modernisierten IT-Grundschutz des BSI empfehlen.
Mit der Allianz für Cyber-Sicherheit (ACS) hat das BSI zudem das größte Selbsthilfe-Netzwerk der deutschen Wirtschaft initiiert und bietet im Rahmen dieser Initiative praxisnahe Hilfestellungen für die Analyse von Cyber-Risiken und die Umsetzung geeigneter Schutzmaßnahmen. Nur wenn wir Cyber-Sicherheit und damit insbesondere auch die Software-Sicherheit als Basis für das Gelingen der Digitalisierung begreifen, werden wir ihre Potenziale auch ausschöpfen können.
HINWEIS FÜR UNSERE LESER: DER GERMAN TESTING BOARD E.V. IST NUN AUCH REGISTRIERTER TEILNEHMER DER ALLIANZ FÜR CYBER-SICHERHEIT
Das GTB als der De-facto-Standard für Weiterbildung rund um Qualitätssicherung hat nun auch den engen Schulterschluss mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gesucht und ist der 2012 gegründeten Allianz für Cyber-Sicherheit (ACS) beigetreten.
Ziel dieser Allianz ist, die Widerstandsfähigkeit des Standorts Deutschland gegenüber Cyber-Angriffen insgesamt zu stärken. Das GTB bringt sich hier aktiv ein, um der Weiterbildungsdisziplin gerade im Bereich der IT-Security Nachdruck zu verleihen und um am Puls der Zeit mitzubekommen, wo die Lehrpläne des GTB gegebenenfalls erweitert, angepasst oder geändert werden müssen. Bei Fragen zu diesem Thema wenden Sie sich bitte an Dr. Armin Metzger.
Dr. Armin Metzger, Geschäftsführer des GTB,
E-Mail: armin.metzger@german-testing-board.info
