Eintrag kommentierenErfahrung zum Thema berichtenEintrag bewerten
Dieser Eintrag wurde im Schnitt mit 0 von 5 Punkten bewertet
Verfahren
Entwicklung sicherer Software - Einstieg
Methode/Technik:22080
Externe Quellen zum Thema NEU: Externe Quellen zum Thema suchen 
Beschreibung
Ein Internet-Browser, der auf besuchten Webseiten hinterlegten Code ohne weitere Fragen einfach ausführt, ein Server-Prozess mit besonderen System-Rechten, der sich durch geschickt gewählte Eingabedaten verleiten lässt, seine Rechte für nicht vorgesehene Zwecke zu missbrauchen - all dies sind Beispiele für IT-Sicherheitsprobleme, die durch sorglose Programmierung verursacht wurden.

Forscht man nach den Ursachen all der IT-Sicherheitsprobleme, die fast täglich gemeldet werden, so stellt man fest, dass neben Fehlern in der Konfiguration von Systemen und Diensten (z.B. für jedermann ohne Identitätsnachweis offen stehende Dienste) und Fehlern in der Benutzung (z.B. vertrauensseliges Klicken auf Links in E-Mails von Unbekannten) ein großer Teil der Schwachstellen letztlich auf Fehler in der Programmierung der eingesetzten Software zurückzuführen ist.

Dieser Aspekt der IT-Sicherheit beginnt erst in jüngster Zeit die gebotene Beachtung zu finden. Bisherige Sicherheitsmaßnahmen wie z.B. Glossar Firewalls oder Virenscanner setzen nicht an der Wurzel des Problems (nämlich Programmierfehler in den Anwendungen) an, sondern versuchen die Schwachstellen zu überdecken, indem ihre Ausnutzung erschwert wird, ohne aber die Schwachstellen zu beseitigen. Solche "Reparaturmaßnahmen" sind aber in der Praxis nie wirklich vollständig. Besser ist es dagegen, Software von vornherein sicher zu entwickeln - auch wenn Maßnahmen wie Firewalls und Virenscanner vielleicht niemals überflüssig werden, gilt auch bei der IT-Sicherheit "Fehlervermeidung ist besser als Fehlerbehebung".

Ein Großteil der aktuellen Schwachstellen wäre mit wenig Aufwand zu verhindern gewesen. Der Grund für dieses auffällige Missverhältnis liegt darin, dass die Sicherheit bei der Entwicklung allgemeiner Software-Anwendungen bisher kaum beachtet wurde, weder in der Ausbildung noch in der betrieblichen Praxis. Es gibt so gut wie keine Vorlesungen zur Software-Sicherheit an den Hochschulen, und erst seit 2001 sind die ersten, wenigen Bücher über die Entwicklung sicherer Software zu diesem Thema erschienen. Überdies gilt die Sicherheit allzu oft noch als nachgeordneter Aspekt, dem man sich widmet "wenn am Ende noch Zeit ist" (was dann so gut wie nie der Fall ist) - erst wenn eine Schwachstelle bekannt wird, muss in großer Hektik der enstandene Schaden (Imageschaden und finanzielle Einbußen) mit weitaus höherem Aufwand beseitigt werden, als seine Vermeidung gekostet hätte.

Software-Sicherheit spielt bei allen Aktivitäten im Software-Entwicklungsprozess eine Rolle. Bisher gibt es noch kein auch nur annähernd vollständiges Prozessmodell für die Entwicklung sicherer Software (nur einige erste Ansätze für sichere Prozessmodelle). Am besten nähert man sich diesem Thema, indem man sich zunächst auf eine bestimmte Aktivität und die dort einsetzbaren Techniken und Werkzeuge konzentriert:


Es gibt auch einige Buchkapitel und Aufsätze, die ebenfalls als Einführung in die Software-Sicherheit dienen können. Weiterhin steht eine umfangreiche, nach Unterthemen geordnete Literaturliste zur Entwicklung sicherer Software zur Verfügung. Und schließlich können Sie sich an den Autor dieses Themas wenden: Dr. Holger Peine

Externe Quellen zum Thema NEU: Externe Quellen zum Thema suchen 
 Eintrag kommentieren 
 Eintrag bewerten 
 Erfahrung zum Thema berichten 
Zu dieser Seite wurden noch keine Kommentare oder Bewertungen abgegeben.
 
Zum Seitenanfang Top Drucken Impressum AGB
Home

VSEK ©2001-2017