TalkAbout

Cybersecurity, Schritt für Schritt

Von Philip Lorenzi
4. Februar 2021

Mehr Sicherheit ist besser als gar keine

Häufig werden in der Softwareentwicklung und im Betrieb nur unzureichende Security-Maßnahmen ergriffen. Ein perfektionistischer Ansatz im Security-Bereich kann dazu führen, dass gar nichts umgesetzt wird. Wir denken Security in unseren Projekten vom Realisierbaren aus. Unsere Devise: Den Sicherheitsstandard schrittweise und steuerbar auf ein angemessenes Niveau heben.

Was tun? Und wie viel?

Das Jahr 2021 ist noch jung. Das Thema Digitalisierung hat in den vergangenen Monaten durch Remote-Work-Initiativen und die Notwendigkeit, große Teile des Lebens in die digitale Sphäre zu verlegen, neuen Schwung bekommen. Erfolgte Cloud-Migrationen und inzwischen etablierte datenbasierte Geschäftsmodelle tun ihr Übriges, dass auch das Thema Cybersecurity mehr Aufmerksamkeit bekommt.

Die Frage, die sich viele beim Thema häufig stellen, ist: „Reicht das, was wir tun?“

Oder – viel häufiger als man denkt –: „Wo fangen wir jetzt an?“

Auf diese Fragen folgt häufig, je nach Interpretation, eine Schockstarre oder zumindest eine lange Phase der Inaktivität. Diese ist kein Ausdruck von Unfähigkeit. Das Dilemma ist eher Folgendes: Im Security-Bereich existieren so viele Bedrohungen und dazu passende Möglichkeiten sich abzusichern, dass man die Fülle der anstehenden Maßnahmen am Ende kaum priorisieren kann – vom Umsetzen ganz zu schweigen. Ob der Grund dafür ist, dass die Ergreifung aller Maßnahmen wirtschaftlich nicht abbildbar ist oder einen die schiere Menge erschlägt, ist für das Ergebnis unerheblich. Dass Security-Abteilungen nicht selten ein Ruf als Verhinderer vorauseilt, ist wohl auch nicht zuträglich.

Um auf die Eingangsfragen, egal in welcher Variante, sinnvoll reagieren zu können, ist es wichtig sich zwei Dinge vor Augen zu führen:

  1. Absolute Sicherheit ist nicht erreichbar. Und das ist in Ordnung.
  2. Sicherheit ist eine Qualitätsdimension von IT-Lösungen. Nicht mehr und nicht weniger.

Cybersecurity, iterativ-inkrementell

Wir ziehen aus diesen Aussagen für unsere Projekten einige einfache Schlußfolgerungen:

Absolute Sicherheit anzustreben ist nicht sinnvoll. Es ist vielmehr wichtig zu einer Einschätzung darüber zu gelangen, welche Risiken aktuell existieren, welche eliminiert werden müssen und welche schlussendlich bestehen bleiben können, weil eine Beseitigung in keinem Verhältnis zum Restrisiko steht.

Die Risiko- und Bedrohungsanalyse muss initial nicht erschöpfend erledigt werden. Sie kann entwicklungsbegleitend stattfinden. Sind die größten Risiken identifiziert, können sie schrittweise eliminiert werden. Die Identifikation weiterer Risiken kann parallel inkrementell erfolgen. Iterativ werden Risiken dann mitigiert, bis die verbleibenden in Summe ein tragbares Restrisiko darstellen.

Wie für jedes andere Qualitätsmerkmal gilt: Sicherheit sollte nicht nachträglich eingebaut werden oder durch Tests herbeizuführen versucht werden. Dieses Vorgehen ist meist der teuerste und am wenigsten erfolgversprechende Ansatz. Folgt man einem Security-by-Design-Ansatz und erstellt IT-Lösungen mit Sicherheitsanforderungen als Teil der Rahmenbedingungen und Entscheidungsgrundlagen, kann mit geringen Aufwänden sehr viel erreicht werden. Häufig geht es nicht um zusätzliche Aufgaben. Dinge, die ohnehin zu erledigen sind, müssen lediglich anders umgesetzt werden.

Es existieren schon viele Best Practices. Betrachtet man IT-Security wie jedes andere Qualitätsmerkmal in der Softwareentwicklung fällt schnell auf, dass man das Rad an vielen Stellen nicht neu erfinden muss. Viele einfache Maßnahmen können ohne langwierige Planung direkt ergriffen werden. Das können zunächst banale Dinge wie die Verschlüsselung einer Datenbank sein, die im Cloud-Umfeld im Normalfall nur ein Click entfernt sind. Beispielsweise sind die OWASP Cheat Sheets eine gute Anlaufstelle für Best Practices in der Applikationsentwicklung.

Kleine Schritte

Was ist nun der Schluss, der sich aus diesen Erkenntnissen ziehen lässt?

Die Haltung, absolute Sicherheit anzustreben führt häufig dazu, dass keine Sicherheitsmaßnahmen ergriffen werden. Es ist sinnvoller schrittweise Maßnahmen zu ergreifen und damit nach jedem Schritt ein Stück mehr Sicherheit realisiert zu haben und den Status Quo neu bewerten zu können. Ganz nebenbei fügt sich so ein sicherer Entwicklungsprozess nahtlos in agiles und iteratives Vorgehen ein. Eine initiale Bedrohungsanalyse ist mit wenig Aufwand durchgeführt, unser Security Quest ist ein gutes Beispiel dafür. Ideen für schnelle erste Schritte lassen sich den OWASP Cheat Sheets entnehmen. Dieser Input kann direkt in eine Definition of Done überführt oder beim nächsten Backlog Grooming ins Projekt aufgenommen werden.

In diesem Sinne ist unser Appell zu verstehen: Besser kleine Schritte für mehr Security, als absolute Sicherheit anzustreben und am Ende keine zu haben.

Beginnt die Reise jetzt, denn jeder Schritt zählt!