DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Lassen Sie Ihre Software hacken

Software wird von Men­schen gemacht. Und Men­schen machen Fehler. Das wird wohl auch immer so bleiben und ist per se nicht welt­be­wegend. Pro­ble­ma­tisch daran ist, dass in immer mehr Branchen Software eine Rolle spielt, die früher kom­plett ohne Software aus­kamen. Die Digi­ta­li­sierung führt dazu, dass einstmals rein mecha­nische Pro­dukte inzwi­schen Soft­ware­kom­po­nenten mit­bringen. Sei es zur Steuerung bezie­hungs­weise zur Pflege übers Netzwerk, oder um neue Funk­tionen hin­zu­zu­fügen. Wahl­weise schaffen Unter­nehmen Web­portale – die ja auch nichts anderes sind als Software – für Partner und Lieferanten

Steigt die Menge an Code­zeilen, steigt auch die Menge an Bugs. Zumal inzwi­schen ja auch Unter­nehmen Software pro­du­zieren, die gar nicht aus der IT-Welt kommen und ent­spre­chend wenig Erfahrung haben. Hier dürfte die Anzahl der sicher­heits­re­le­vanten Pro­gram­mier­fehler pro­por­tional höher sein als in IT-affinen Branchen. Je nach Anwendung können unter­schiedlich klas­si­fi­zierte Bugs fatal sein: Bei einer Büro­an­wendung ist ein Absturz zwar unschön, aber nicht das Ende der Welt. Steuert eine Appli­kation eine Indus­trie­pro­duktion oder Maschine, kann der Absturz üble Folgen haben. In die Kate­gorie GAU gehören in jedem Fall Pro­gram­mier­fehler, die eine Kon­trolle der Anwendung durch Unbe­rech­tigte aus der Ferne ermöglichen.

Wie kann man als Soft­ware­pro­duzent nun die Qua­lität der eigenen Anwen­dungen erhöhen? Ein bewährtes Mittel sind soge­nannte Bug Bounty-Pro­­­gramme. Also Prämien für Bugs, die von externen Fach­leuten auf­ge­spürt werden. Der Soft­ware­pro­duzent lädt quasi den Rest der Welt ein, die eigenen Anwen­dungen zu zer­legen, auf Schwach­stellen abzu­klopfen – und zahlt dafür auch noch Geld. Für viele Pro­gram­mierer – und nicht zuletzt Juristen – ist das eine Horrorvorstellung.

Dabei sprechen diverse Argu­mente für Bug Bountys:

  • Je mehr Augen­paare den Pro­grammcode unter die Lupe nehmen, desto mehr Fehler finden sich
  • Der Soft­ware­pro­duzent defi­niert die Regeln und damit den Umfang der Forschungsbemühungen
  • Auch ohne Bug Bounty würden kri­mi­nelle Hacker die betref­fende Anwendung nach Schwach­stellen abklopfen. Es gilt also, diesen zuvor zu kommen

Pro­mi­nente Bei­spiele für solche Prä­mi­en­pro­gramme sind die Deutsche Telekom, Facebook, Microsoft oder Google. Auf den ver­linkten Seiten kann man gut nach­lesen, wie diese Pro­gramme struk­tu­riert sind. Natürlich lassen sich auch Bountys ohne Prämien ins Leben rufen. Diese sind aber einer Unter­su­chung von Hacker One zufolge weniger effi­zient. Hacker One ist ein US-Unter­­nehmen, das andere Firmen beim Aufbau und der Pflege solcher Pro­gramme mit einer kos­tenfrei nutz­baren Soft­ware­plattform unter­stützt. Dies dürfte etliche der Hürden aus dem Weg räumen, vor denen sich viele der Unter­nehmen sehen, die noch nie Kontakt hatten mit der Welt der (wohl­mei­nenden) Hacker.

 Bild: © Andrea Izzotti/ shutterstock.com

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Michael Kra­na­wetter, Microsoft

Michael Kra­na­wetter ist National Security Officer bei Microsoft Deutschland. In dieser Rolle ist er Ansprech­partner für Chief (Infor­mation) Security Officers für die Themen Gover­nance, Risk and Com­pliance und für die Microsoft-Informationssicherheitsstrategie.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.