DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Wenn Pro­gramme zum Sicher­heits­risiko werden

Die Pro­gram­mierung von Software folgt heute in vielen Bereichen dem Lego-Prinzip: Ein Anwen­dungs­pro­gramm wird nicht völlig neu, quasi „from the scratch“ geschrieben, sondern enthält an Stellen, wo es um reine Rou­ti­ne­pro­gram­mierung geht, Soft­warebau­steine, die in einer Pro­gramm­bi­bliothek abgelegt sind.

Der Aufbau einer solchen Bibliothek und deren Nutzung macht tat­sächlich sehr viel Sinn. Viele Anwen­dungs­pro­gramme ent­halten in Teilen Stan­dard­pro­gram­mie­rungen, die immer gleich auf­gebaut sind, so z. B. beim Druck die Abfrage, ob der Drucker ein­ge­schaltet ist oder aus­rei­chend Papier hat, bevor gedruckt werden kann.

Ist ein solcher Rou­ti­ne­bau­stein erstmal ent­wi­ckelt, ist es sehr sinnvoll, ihn in einer soge­nannten Pro­gramm­bi­bliothek abzu­legen oder sogar zu ver­öf­fent­lichen. So kann man selbst oder — im Falle einer Ver­öf­fent­li­chung  — auch andere Ent­wickler bei der Pro­gram­mierung der nächsten Anwen­dungs­software einfach darauf zurück­greifen. Das ist üblich und selbst­ver­ständlich in der Branche.

Diese Effi­zi­enz­maß­nahme wird aller­dings dann zum Problem, wenn die Rou­ti­ne­pro­gramme Fehler und Sicher­heits­lücken ent­halten. Denn dann kann sich ein ein­ziger Fehler plötzlich sehr schnell mul­ti­pli­zieren. Der feh­ler­hafte Code taucht dann in allen Anwen­dungs­pro­grammen auf, die bei der Pro­gram­mierung auf ihn zugriff­ge­griffen haben. Auf diesen Sach­verhalt haben nun IT-Experten im Rahmen der beiden bekannten Sicher­heits­kon­fe­renzen DEFCON und Blackhat hin­ge­wiesen. Tat­sächlich wurde diese Art von Fehler in meh­reren Hundert Anwen­dungs­pro­grammen von Pro­dukten gefunden, so z.B. bei Dru­cker­software, Software für Infu­si­ons­pumpen, Satel­liten oder Operationstechnologie.

Daher ist die Testung von Soft­ware­mo­dulen, die in Pro­gramm­da­ten­banken angelegt werden, von beson­derer Bedeutung – kommt aber auf­grund Zeit- und Kos­ten­druck sehr häufig zu kurz, leider zu Lasten der Sicherheit.

 

Die vor­lie­genden Infor­ma­tionen ver­danke ich dem Com­puter Magazin Podcast von B5 aktuell vom 16. August.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Klaudia Malowitz, DsiN

Dr. Klaudia Malowitz ist Refe­rentin für Public Relation und Part­ner­schaften für die Trans­fer­stelle IT-Sicherheit im Mit­tel­stand (TISiM) bei Deutschland sicher im Netz e.V.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.