Interview : Wie Secure by Design hilft, Angriffsflächen zu schließen
Secure by Design ist ursprünglich ein Konzept der US Cybersecurity and Infrastructure Security Agency (CISA), um die Sicherheit von Hard- und Software bereits im Entwicklungsprozess zu berücksichtigen. Zur konkreten Umsetzung dieses Prinzips in Europa hat Software-Hersteller Ivanti eine Partnerschaft mit dem cyberintelligence.institute (CII) aus Frankfurt geschlossen.
Secure by Design ist ursprünglich ein Konzept der US Cybersecurity and Infrastructure Security Agency (CISA), um die Sicherheit von Hard- und Software bereits im Entwicklungsprozess zu berücksichtigen. Zur konkreten Umsetzung dieses Prinzips in Europa hat Software-Hersteller Ivanti eine Partnerschaft mit dem cyberintelligence.institute (CII) aus Frankfurt geschlossen. Aus diesem Anlass hat der Hersteller ein Interview mit Bernhard Steiner, Regional Vice President Sales Engineering EMEA bei Ivanti, und Prof. Dr. Dennis-Kenji Kipker, Research Director des CII, geführt.
Herr Steiner, Ivanti ist auf der diesjährigen it-sa vertreten. Was erwartet den Besucher auf Ihrem Stand?
Steiner: Wir zeigen, wie Unternehmen und Behörden ihre gesamten Endgeräte identifizieren, sichere Netzwerkzugriffe ermöglichen sowie Risiken und Verwundbarkeiten aufdecken und letztlich beseitigen können. Konkret konzentrieren wir uns auf unserem Stand 610 in Halle 7 auf vier Schwerpunktthemen: Zero Trust Network Access, risikobasiertes Patchmanagement, External Attack Surface Management, also die Möglichkeit, eine IT-Umgebung durch die Brille eines Angreifers zu sehen sowie praktische Einsatzszenarien von künstlicher Intelligenz (KI).
Kommen wir zu Ihrer Zusammenarbeit mit dem CII. Wie kam es dazu?
Steiner: Wir haben uns als einer der ersten Softwarehersteller in den USA der CISA gegenüber freiwillig verpflichtet, Secure by Design unternehmensweit umzusetzen. In unseren täglichen Entwicklungsprozessen zeigte sich, dass wir diese recht US-zentrierte Initiative für den europäischen Markt anpassen müssen. Hier spielen vor allem die Vorgaben von NIS-2, CRA und DORA eine große Rolle. Daher wollten wir die umfassende technische und juristische Expertise des CII nutzen, um uns in diesem Prozess weiter voranzubringen.
Herr Kipker, ist Secure by Design für Europa ein neuer Ansatz?
Kipker: Aus europäischer Perspektive ist das für viele Unternehmen, vor allem außerhalb der IT-Branche, tatsächlich ein recht neuer Gedanke. Allerdings müssen sie sich aus Compliance-Gründen jetzt damit beschäftigen. Denn der Cyber Resilience Act (CRA) der EU enthält explizit die Forderung nach Secure by Design. Die entsprechenden Vorgaben müssen Unternehmen definitiv in den nächsten Jahren einhalten.
Wie sieht das konkret aus?
Kipker: Laut dem CRA müssen Unternehmen bei Produkten mit digitalen Elementen in den Phasen Design, Entwicklung und Produktion sowie während der Nutzung angemessene Cybersecurity-Maßnahmen etablieren. Hersteller haben die Verpflichtung, im gesamten Produktlebenszyklus Sicherheitslücken zu schließen sowie Nutzer über behobene Schwachstellen und Vorfälle zu informieren.
Während der CRA wohl erst in ein paar Jahren umgesetzt werden muss, steht die NIS-2 unmittelbar bevor.
Kipker: Das ist richtig. Bis 17. Oktober müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht umsetzen. Ob Deutschland diesen Zeitplan einhalten wird, ist nicht sicher. Klar ist allerdings, dass zukünftig mindestens 30.000 Unternehmen nachweisen müssen, dass ihre Systeme, Produkte und die gesamte digitale Lieferkette sicher sind. Hier kann Secure by Design die Compliance erleichtern. Ich denke, dies wird in Zukunft ein wichtiges Verkaufsargument für Softwarehersteller. Wenn man als Anbieter bereits Dokumentationen oder Zertifizierungen vorlegen kann, ist dies ein guter Weg, um die eigene Compliance mit der digitalen Lieferkette gemäß NIS-2 darzustellen.
Welche ersten Schritte sind zur Einführung von Secure by Design wichtig?
Steiner: Bevor man sich die Entwicklungsprozesse betrachtet, sollte man die Organisationsstruktur und grundsätzliche Arbeitsabläufe prüfen. Zum Beispiel hatten wir vor der Einführung von Secure by Design einen seriellen Ablauf. Zuerst arbeitete ein Team an einem Teil des Codes, dann das nächste Team und dann das nächste. Daraus resultierten relativ lange Entwicklungszyklen. Zudem: Kaum ein Team konnte den Code auf Fehler der Vorgängerteams prüfen. Jetzt haben unsere Teams ihre eigenen Module und dadurch parallele Arbeitswege. Darüber hinaus müssen sie bei ihrem Code strenge Unternehmensrichtlinien befolgen, damit die Module zusammenarbeiten und standardmäßig sicher sind.
Wir können dabei für jedes Modul verschiedene Arten von Sicherheit anwenden. So werden statische und dynamische Codeanalysen auf jeder Ebene durchgeführt. Wir verteilen damit den kontinuierlichen Testaufwand über die gesamte Codebasis statt wie bisher auf zyklische Securitytests zu setzen. Da die Funktions- und Codeprüfungen im laufenden Entwicklungsprozess parallel ablaufen und nicht mehr am Ende, finden und beheben wir Probleme schneller und vor allem gründlicher.
Ivanti ist ein Vorreiter für Secure by Design, wie reagieren andere Unternehmen?
Kipker: Zum Beispiel hat Microsoft erklärt, dass Cybersecurity-Anwendungen künftig keinen direkten Zugriff mehr auf den Kernel der Softwareumgebung erhalten sollen, um die Sicherheit des Betriebssystems zu erhöhen. Wir sehen also, dass selbst eines der größten Softwareunternehmen der Welt bis heute Security by Design nicht vollständig umgesetzt hat. Deshalb denke ich, dass Ivanti mit seinem neuen Ansatz hier ein Vorbild sein kann, vor allem in der EU.
Wird dieses Ziel auch von deutschen Behörden unterstützt?
Kipker: Absolut. Das BSI hat bereits im vergangenen Jahr gemeinsam mit anderen nationalen Cybersicherheitsbehörden Empfehlungen für Hersteller veröffentlicht, wie sie die Grundsätze von Secure by Design stärker in ihre Produktentwicklung implementieren können. Dabei geben sie auch Hinweise zur konkreten Umsetzung.
Wo liegen die Herausforderungen von Secure by Design im Unternehmen?
Steiner: Zuerst einmal muss eine Grundbedingung erfüllt sein. Der Vorstand muss eine solche Initiative voll unterstützen. Denn mit der Einführung von Secure by Design ändern sich nicht nur Entwicklungs-, sondern auch Organisations- und Führungsprozesse. Eine zweite Herausforderung liegt in der Nutzungsdauer der Produkte. Wenn Kunden eine Software kaufen, wollen sie jahrelang damit arbeiten, bis sie die Finanzabteilung abgeschrieben hat. Doch in dieser Zeit entwickeln sich sowohl die Technologien als auch die Angriffsmethoden ständig weiter. In traditionellen Entwicklungsprozessen wird Software immer wieder aktualisiert, basiert aber weiterhin auf der gleichen Grundlage. Das vergrößert die Angriffsfläche innerhalb einer Softwarelösung deutlich.
Können Sie dafür ein Beispiel nennen?
Steiner: Ein bekanntes Beispiel ist Windows. Während der gesamten Produktgeschichte war Abwärtskompatibilität mit früheren OS-Versionen essenziell. Daher war es in den letzten Jahrzehnten Standard bei allen Softwareentwicklern, alten Code möglichst nicht zu entfernen. Selbst im aktuellen Windows 11 findet man immer noch DLLs von NT 4.0. Man hat also buchstäblich 40 Jahre alte Software mit im Installationspaket. Gerade auf solche Überbleibsel haben es Angreifer abgesehen, also älteres Material, das einfach nur da ist und nicht mehr gewartet und unterstützt wird. Die Beseitigung solcher Angriffsflächen innerhalb einer Softwarelösung muss hohe Priorität haben.
Das heißt, Hersteller müssten regelmäßig die gesamte Software austauschen?
Kipker: Ja, und genau das kann Software as a Service – richtig eingesetzt – zu einer sinnvollen Lösung machen. Wenn der Kunde die Anwendungen nicht On-Premises nutzt, sondern über die Cloud mietet, kann sie der Anbieter laufend aktualisieren. Das betrifft nicht nur neue Funktionen, sondern vor allem auch die Beseitigung von Schwachstellen. Das ist aber auch ein Grund, warum Edge- Geräte zu einem wichtigen Angriffsvektor geworden sind. Denn diese Geräte werden oft über einen längeren Zeitraum nicht aktualisiert.
Aber selbst dann gibt es wohl keine hundertprozentige Sicherheit?
Steiner: Die wird es niemals geben. Dabei investieren wir und auch viele andere Unternehmen schon erheblich in den Bereich Sicherheit. Unseren Entwicklern geht es dabei so wie Fußball- Torhütern: Niemand spricht über die Paraden, aber alle über das Gegentor. Secure by Design kann aber systematisch dabei helfen, die Anzahl dieser Tore deutlich zu verringern.
Mehr Informationen, wie Ivanti Secure by Design konkret umsetzt, erhalten
Sie auf der it-sa am Ivanti-Stand 610 in Halle 7.
Prof. Dr. Dennis-Kenji Kipker
Bernhard Steiner