Die Sicherheit von Softwareanwendungen

Gestern ist das exklusive Interview des NDR mit Edward Snowden im Fernsehen gelaufen. Dort wurde u.a. deutlich, wie anfällig die heutige Informationsverarbeitung aufgrund des hohen Vernetzungsgrades ist.

In der letzten Zeit sind zudem größere Datenlecks bekanntgeworden, die für die involvierten Unternehmen auch eine wirtschaftlich bedeutende Dimension besitzen.

Die heutige Frage lautet daher: haben sich die Prioritäten in der Anwendungsentwicklung verschoben, oder tun sie dies? Wie immer finden Sie die Links zu den verwendeten Artikeln in den „Weiterführende Informationen“ ganz unten auf der Seite.

Edward Snowden – Exklusives Interview

Gestern wurde das folgende exklusive Interview mit Edward Snowden ausgestrahlt, das wohl in Russland entstanden ist.

Mal unabhängig von den politischen Implikationen und den inhaltlichen Details nennt er in diesem Interview ein paar fachlich interessante Zusammenhänge:

  • Die NSA sammelt offenbar intensiv Daten, und beschäftigt sich darüberhinaus mit Software, um solche Daten auszuwerten. Auch in der Privatwirtschaft kommt dieses Muster vor. So sind manche Suchmaschinen bekannt dafür, daß sie die Inhalte von Mails auswerten, um passende Werbung einblenden zu können.
  • Es arbeiten anscheinend bei der NSA Mitarbeiter von externen Firmen, die nur wenig bis gar nicht kontrolliert werden. Der Einsatz von Mitarbeitern von Drittfirmen ist im Rahmen des Outsourcing auch in privaten Firmen nicht selten.
  • Er selbst hat anscheinend als ein solcher Mitarbeiter einen schier ungebremsten Zugang zu Massendaten erhalten – zumindest konnte er wohl eine sehr große Datenmenge kopieren und mitnehmen.
  • Man konnte offenbar jahrelang Politiker ausspähen, die relativ ungeschützte Kommunikationsmittel benutzt haben, und schreckt nicht vor Wirtschaftsspionage zurück. Gerade neulich wurde bekannt, daß viele Nutzer einfache Passworte nutzen, d.h. das Problem der Unbedarftheit scheint weit verbreitet zu sein.

Dies zeigt letztendlich, daß das System des vernetzen Computing, wie es das Internet bietet, nicht nur Vorteile bietet, sondern auch neue Anforderungen formuliert.

Hackerangriffe – Hohe Wichtigkeit

Beispiele

Die Presse der letzten Zeit ist voll von Hackerangriffen, und jedesmal wird ersichtlich, daß ein einziges Datenleck zu einem immensen Datenabfluss führen kann. Um nur zwei Beispiele zu nennen:

  • Es standen Millionen Nutzernamen und Passworte der Firma Adobe im Netz, und die Nutzer mußten alle Passworte ändern, bzw wurden per Briefpost auf die Möglichkeit hingewiesen, daß es zu unberechtigten Abbuchungen von der Kreditkarte kommen könnte.
  • Oder es waren Millionen eMail Adressen frei im Netz verfügbar, die ein „Botnetz“ eingesammelt hatte (d.h. ein Zusammenschluss infizierter Rechner), und Millionen Nutzer mußten ihre Mailkonten prüfen.

Dies zeigt, daß ein einzelner Hack zu einem großen Schaden führen kann.

Änderungsbedarf

McKinsey hat gerade neulich unter dem Titel „Risk and responsibility in a hyperconnected world: Implications for enterprises“ eine Studie veröffentlicht, die auf die immensen Folgekosten aufmerksam macht.

Dort heißt es, daß sowohl die Kosten als auch die Folgeprobleme sehr groß sind, bzw werden können:

„Despite years of effort, and tens of billions of dollars spent annually, the global economy is still not sufficiently protected against cyberattacks—and it is getting worse. The risk of cyberattacks could materially slow the pace of technology and business innovation with as much as $3 trillion in aggregate impact.“

Man rät in dieser Studie dazu, daß man das Thema zur Chefsache machen sollte:

„Given the trillions of dollars in play, the stakes are high. And given the range of social and business issues that cyberresiliency affects—for example, intellectual property, regulatory compliance, privacy, customer experience, product development, business continuity, legal jurisdiction—it can only be addressed effectively with active engagement from the most senior business and public leaders.“

Darüberhinaus nennt die Studie mehrere Schutzmaßnahmen,  die Firmen ergreifen sollten (siehe dort). Unter anderem halten die Autoren es für notwendig, daß man Sicherheit von Grund auf entwickelt, indem man u.a. die Anwendungsentwicklung überdenkt:

  1. Deeply integrate security into the technology environment to drive scalability. Almost every part of the broader technology environment impacts an institution’s ability to protect itself, from application-development practices to policies for replacing outdated hardware. Institutions must move from simply bolting on security to training their entire staff to incorporate it from day one into technology projects.

Praktische Schritte

In meiner Erfahrung hilft folgender Perspektivenwechsel dabei, die neuen Anforderungen umzusetzen:

  • Weg von der Featurevielfalt, hin zur Qualität der Features: Sicherheit und Qualität hängen eng zusammen. Konkret sollte man daher als Produktowner eher auf ein Feature verzichten, denn es bei schlechter Qualität zu liefern.
  • Je Einfacher desto besser: Allerdings hängen auch Einfachheit und Qualität eng zusammen, weshalb man sich regelmäßig die Zeit nehmen sollte, das eigene Produkt zu vereinfachen. Wohlgemerkt: Was es nicht mehr gibt, weil es nicht mehr notwendig war, kann auch nicht Gegenstand eines Angriffs werden. Die Krux mit dem Vereinfachen ist hierbei, daß dieser Schritt viel Arbeit erfordert – Hinzufügen ist einfach – Wegnehmen ist schwer.
  • Die Kunst des Entwickelns fördern: Die alte Wasserfallmethode wurde in vielen Fällen durch die agile Softwareentwicklung abgelöst. Aus meiner Sicht ist dies eine sinnvolle Entwicklung, insbesondere, wenn es Teams über den Freiraum auch schaffen, Methoden einzusetzen wie Unit Tests, Reviews, etc, die an der Reproduzierbarkeit der Qualität ansetzen.
  • Spezielle Tests verwenden: Unter dem Oberbegriff des „Explorativen Testens“ sind Testmethoden verfügbar, wie die „Saboteur-Tour„, die dazu beitragen, die Sicherheit von Softwareanwendungen zu verbessern. Für solche Tests sollte regelmäßig Zeit im Backlog sein.

Generell helfen diese kleinen Schritte dabei, die Software besser zu machen. Allerdings erfordert wirkliche Sicherheit wohl Anstrengungen auf ganz anderen Ebenen, wie das oben erwähnte Interview zeigt. Da sollte man sich meiner Meinung nach nicht viel vormachen.

Weiterführende Informationen

Das Original dieses Artikels ist auf Der Produktmanager erschienen (©Andreas Rudolph).

Neue Artikel gibt es über die (→Mailingliste), oder indem Sie →mir auf Twitter folgen.

In der Online Version finden Sie hier die versprochenen weiterführenden Links:

Comments are closed.