Fehlende Software-Sicherheit lähmt Wirtschaft in der Krise

Deep Sec Konferenz zeigt Lösungswege (© 2013 Joanna Pianka, www.300dpi.at)

Wien (pts010/20.04.2021/09:00) - In jeder Krise wird die eigene Infrastruktur und Logistik auf ernste Proben gestellt. Die COVID-19-Pandemie illustriert diesen Umstand besonders drastisch durch die vielen strukturellen Versäumnisse in den vergangenen 12 Monaten. Man versucht, biologische Probleme durch Smartphones zu lösen, favorisiert Sackgassen-Technologien wie Blockchain, entdeckt den fehlenden Netzwerkausbau der letzten Dekaden und publiziert dann panisch irgendwelche Software-Applikationen, die erst nach der Veröffentlichung ernsthafte Tests erfahren. Alle diese Schnellschüsse sind Momentaufnahmen fehlender Nachhaltigkeit. Dabei ist gerade jetzt die Wirtschaft auf stabile Lösungen auf Basis von langjähriger Erfahrung angewiesen. Die DeepSec Konferenz möchte im November 2021 allen, die mit Software arbeiten, eine Stütze geben, durch Trainings und Weitergabe von Erfahrungen durch Sicherheitsforscherinnen und -forschern.

Code regiert die Welt

Das Wort Digitalisierung ist ständig in aller Munde. Leider ist niemandem klar, dass die Informationssicherheit mit der Umsetzung eine tragende Rolle erhält. Seit den ersten Maßnahmen gegen COVID-19 bekam dass Home Office eine große Bedeutung. Manche Firmen konnten die Telearbeit mangels verfügbarer Mittel nicht adäquat zur Verfügung stellen. Fernzugriff auf interne Ressourcen muss geplant und abgesichert werden. Es ist nicht mit bloßem Einschalten getan. Auch die Vermischung von privater und firmeninterner Nutzung digitaler Geräte muss vermieden werden. Darüber hinaus ist eine sichere Infrastruktur notwendig, die für viele IT-Abteilungen mittlerweile nur mehr abstrakt existiert, weil die Fähigkeiten zur Betreuung fehlen. Das ist der ideal Nährboden für digitale Katastrophen.

Die stetige Automatisierung und die Verbreitung von vernetzten Endgeräten, speziell im Steuer- und Regelungsbereich, hat eine Vielzahl von Funktionen von den Entscheidungen von Applikationen abhängig gemacht. Der Begriff Softwarefehler ist mittlerweile ein Synonym für höhere Gewalt. Tatsächlich versteckt sich dahinter oft viel mehr. Fehlende Sicherheit in Ausführung und Design kann eine tragende Rolle spielen. Wichtig ist die genaue Analyse und Fehlerbehebung, um die Ursachen zu klären. Software muss in allen Situationen die Kontrolle behalten und in ausweglosen Situationen sichere Entscheidungen treffen. Oberflächlichkeit ist daher bei Fällen, die sensitive Daten betreffen, fehl am Platz. Die zunehmende Automatisierung in Industrie und Heimbereich führt zu ernsten Konsequenzen, wenn Software falsche Entscheidungen trifft oder vorher versagt.

Zurück zur Sicherheit

Informationssicherheit ist eine grundlegende Zutat für Applikationen jedweder Art. Damit ist sie unverzichtbar für die Digitalisierungsbestrebungen eines jeden Landes. Begriffe wie Secure Design und Secure Coding wurden mittlerweile von jeder Entwicklerin und jedem Entwickler bereits gehört. In vielen Entwicklungsteams werden die Konzepte auch schon eingesetzt. Sowohl die Einführung als auch die Umsetzung sind allerdings keine statischen Prozesse, die einmal durchgeführt werden. Verwendete Methoden und Werkzeuge sind ständigen Erweiterungen unterworfen. Der richtige Einsatz muss stets hinterfragt werden.

Die diesjährige DeepSec-Sicherheitskonferenz hat gezielt Themen ausgewählt, die als zweitägiges Training im November vor den Konferenztagen angeboten werden. Schwerpunkt werden mobile Applikationen (Apps), Embedded Systems (Industriesteuerungssysteme, Internet of Things/IoT) und Infrastruktur sein. Alle Trainings werden praxisbezogen sein und die Brücke zwischen klassischer Software-Entwicklung sowie moderner Code-Erzeugung schließen.

Software darf kein Wegwerfprodukt sein

Es spricht nichts dagegen den eigenen Code eines Produkts oft zu aktualisieren. Manche Anwendungen müssen zeitgerecht auf veränderte Situationen mit Anpassungen reagieren. Leider ist ist die Qualität der Programme, die unter Marktdruck schnell publiziert werden müssen, in der Regel sehr schlecht. Seit dem letzten Jahr wurden unzählige Lösungen zur Kontaktverfolgung bei COVID-19-Infektionen vorgestellt. Wenige haben die ersten Feedbackschleifen überstanden. Einige der Übriggebliebenen müssen und mussten sich Kritik stellen, unter anderem die Luca-App, die gravierende Mängel in allen Bereichen aufweist. Gerade bei kritischen Anwendungen darf dies nicht passieren. Die App-Stores der Telefonanbieter sind ein hart umkämpfter Markt. Aufgrund der Vielzahl der Apps erreicht man die Aufmerksamkeit nur durch spezielle Features, solide Problemlösungen oder aggressives Marketing. Letzteres ist wohl kaum ein Mittel der Informationssicherheit.

Das Hinzufügen von Features ist nicht zwingend notwendig. Programme, die lange zuverlässig ein Problem lösen können, sind automatisch kein Wegwurfprodukt. Langlebigkeit ist bei den aktuell kurzen Produktzyklen eine unterschätzte Eigenschaft. Der Code muss aber länger halten als das Gerät, auch unter widrigsten Bedingungen. Wer nicht in der nächsten Woche wieder vom Markt verschwinden möchte, sollte darüber nachdenken und diese Eigenschaft ins eigene Portfolio integrieren.

Programme und Buchung

Die DeepSec-2021-Konferenztage sind am 17. und 18. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 16. und 17. November statt. Alle Trainings und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von zukünftigen COVID-19-Maßnahmen teilweise oder komplett virtuell stattfinden.

Die DeepINTEL Security Intelligence Konferenz findet am 17. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir aufgrund Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

(Ende)