IT-Sicherheit: Softwareentwicklung & IT-Sicherheitsteams harmonisieren

Unser Experte im Interview

Vladyslavs Weg in die Welt der IT-Sicherheit begann in der Ukraine, wo er seinen Bachelor-Abschluss in Datenschutz und -sicherheit erwarb.

Er begann zunächst als DevOps-Ingenieur, wechselte dann in den Bereich Cybersicherheit und schloss schließlich seinen Master in diesem Bereich ab.

Mit über fünf Jahren Erfahrung bei About You stieg er zum Leiter der Abteilung für Informationssicherheitstechnik auf.

About You: Weit mehr als nur eine eCommerce-Plattform

About You ist nicht nur ein eCommerce Unternehmen, sondern hat ein duales Geschäftsmodell. Neben seiner Einzelhandelsabteilung hat das Unternehmen ein Software-as-a-Service (SaaS)-Geschäftsmodell namens „Scale“, bei dem es seine Backend-Infrastruktur anderen E-Commerce-Plattformen zur Verfügung stellt. Mit seiner Erfahrung im Umgang mit hochbelasteten Systemen und der Bereitstellung eines stabilen eCommerce-Erlebnisses hat About You bereits mehrere Kunden für diesen Service gewonnen.

Implementierung robuster IT-Sicherheitsmaßnahmen in Organisationen

In der heutigen schnelllebigen Technologielandschaft kann es eine Herausforderung sein, das richtige Gleichgewicht zwischen Innovation und Sicherheit zu finden. Im Folgenden findest Du einige Empfehlungen, wie Organisationen und Unternehmen die Sicherheit ihrer Softwareentwicklung verwalten können, ohne ihr Wachstum zu behindern.

IT Security by Default

„Security by Default“ auch als IT-Security by Design bekannt, ist ein effektiver Ansatz, der es Unternehmen ermöglicht, die Geschwindigkeit beizubehalten, ohne die Sicherheit zu beeinträchtigen. Anstatt jedes Element von Grund auf neu zu erstellen, können Ingenieure sichere Vorlagen verwenden, die von den Sicherheits- oder Betriebsteams erstellt wurden. Diese Vorlagen für z. B. Datenbanken enthalten integrierte Sicherheitsmaßnahmen, die Zeit sparen und die Einhaltung von Sicherheitsstandards gewährleisten.

Continuous Compliance Scans

Eine Strategie besteht darin, Ihre Infrastruktur kontinuierlich auf Verstöße gegen die Vorschriften zu überprüfen. Lege fest, was eine „sichere Ressource“ ist, und verwende automatisierte Tools, um Abweichungen festzustellen. Wenn eine Unstimmigkeit festgestellt wird, kann das zuständige Team sie umgehend beheben. Diese Sicherheitstaktik ist besonders vorteilhaft, wenn Infrastructure as Code (IaC) verwendet wird, wodurch manuelle Änderungen vermieden und die Sicherheit erhöht werden.

Rolle des Red und Blue Teaming

Die Durchführung von „Red Team“- und „Blue Team“-Übungen innerhalb des IT-Sicherheitsteams ermöglicht es einer Gruppe, Cyberangriffe zu simulieren, während die andere sie abwehrt. Dieser Ansatz testet die Wirksamkeit von Sicherheitsmaßnahmen und fördert eine auf Sicherheit ausgerichtete Denkweise innerhalb der Organisation.

IT-Security und der Faktor Mensch

Der Mensch wird oft als „schwächstes Glied“ in der Cybersicherheit bezeichnet, kann aber auch die stärkste Verteidigungslinie sein, wenn er richtig ausgebildet ist. Eine rasche technologische Entwicklung bedeutet nicht, dass Ihre Sicherheit ebenso schnell zunehmen kann. Investitionen in die Ausbildung von Mitarbeitern, insbesondere von Ingenieuren, können sich durch eine bessere Risikominderung auszahlen.

Schwachstellen-Management

Es geht nicht nur darum, Schwachstellen zu erkennen, sondern auch darum, sie zu beheben. Unternehmen sollten klare Prozesse für das Auffinden und Beheben von Sicherheitsmängeln einrichten. Durch ein ausgewogenes Verhältnis zwischen entdeckten und behobenen Schwachstellen pro Monat wird verhindert, dass sich Sicherheitsrisiken anhäufen.

Sichere Code-Guidelines und wirksame Code Checks

Die Pflege aktueller Richtlinien zur sicheren Codierung auf einer zugänglichen Plattform wie Confluence kann es Entwicklern erleichtern, sich an bewährte Sicherheitsverfahren zu halten. Ergänze diese Maßnahmen um regelmäßige Code-Reviews und White-Box-Penetrationstests, um sicherzustellen, dass deine Codebasis sicher bleibt.

IT Security Tools und IT-Sicherheitstechnologien

Auch wenn die verwendeten Tools variieren und als sensible Informationen gelten können, vertrauen viele Unternehmen auf eine Mischung aus Open-Source-, kommerziellen und kundenspezifischen Lösungen. Dienste wie AWS und Cloudflare bieten robuste Sicherheitsoptionen, die in Verbindung mit Code-Scannern und anderen Schwachstellenmanagement-Tools genutzt werden können.

Empfehlungen fuer Startups

Für Unternehmen, die gerade erst anfangen, sich mit IT-Sicherheit zu befassen, ist es wichtig, dass sie ihre Lösungen nicht zu sehr ausreizen. Kümmere Dich zunächst um die Grundlagen und decke mit minimalem Zeitaufwand so viel wie möglich ab. Wenn Du die wichtigsten Bedrohungen ermittelst, kannst Du mehr Ressourcen in spezielle Lösungen investieren.

Shift Left Approach

Der „Shift Left“-Ansatz betont, wie wichtig es ist, Sicherheitsmaßnahmen so früh wie möglich im Entwicklungsprozess einzuführen. Die frühzeitige Erkennung von Problemen kann enorme Mengen an Zeit und Geld sparen, verglichen mit der Behebung eines grundlegenden Problems nach dem Start.

Indem Du diese Strategien in deine Unternehmensprozesse integrierst, baust Du nicht nur eine sicherere Infrastruktur auf, sondern förderst auch eine proaktive Kultur des Sicherheitsbewusstseins, die dein Team befähigt, proaktiv und nicht reaktiv mit IT-Sicherheitsproblemen umzugehen.

Ueberraschende Folgen vernachlaessigter IT-Sicherheit

Bei der IT-Sicherheit geht es vor allem darum, das zu verhindern, was man nicht kommen sieht. Ein Praxisbeispiel, basierend auf unseren eigenen Erfahrungen veranschaulicht dies gut. In der Anfangsphase der Entwicklung unseres skalierbaren Produktangebots haben wir bei Penetrationstests erhebliche Schwachstellen festgestellt. Diese Tests deckten Sicherheitslücken auf, insbesondere bei der Identitäts- und Zugangsverwaltung. Ohne diese Prüfung hätten wir unsere Kunden unwissentlich schwerwiegenden Risiken aussetzen können.

Effektive Zusammenarbeit von Team mit der IT-Sicherheit im Fokus

Unser Team besteht aus verschiedenen Rollen, wie z. B. Entwicklern, DevOps-Ingenieuren, Plattform-Ingenieuren und Sicherheitsingenieuren, neben anderen typischen Unternehmensrollen wie Produktverantwortlichen und Managern. Ein Großteil der Arbeit, einschließlich des Schreibens und der Bereitstellung des Codes, findet in den Entwicklungsteams statt. Sicherheitsbedenken werden von spezialisierten Sicherheitsingenieuren behandelt, aber manchmal bestehen Barrieren zwischen den Entwicklungs- und Sicherheitsteams. Dies kann auf einen Mangel an Vertrautheit oder früherer Zusammenarbeit zurückzuführen sein.

Wirksame Kommunikationsstrategien

Eine Möglichkeit, diese Kultur der Zusammenarbeit zu verbessern, besteht darin, Routinen einzuführen, die die Interaktion zwischen den Teams fördern. Eine wirksame Kommunikation muss nicht formell sein; eine persönlichere Verbindung macht es den Teammitgliedern oft leichter, Fragen zu stellen oder Ratschläge einzuholen. Dies trägt dazu bei, dass das Sicherheitsteam den Ruf erwirbt, hilfsbereit zu sein, anstatt zu bestrafen, und fördert so eine bessere Zusammenarbeit.

Herausforderungen und Moeglichkeiten der Zusammenarbeit

Die größte Herausforderung bei der Zusammenarbeit besteht häufig in einer falschen Ausrichtung der Prioritäten. Auch wenn IT-Security-Engineers auf die sofortige Behebung von Schwachstellen drängen, ist es wichtig zu verstehen, dass sich die Entwicklungsteams auch auf andere Aufgaben konzentrieren müssen. Geschäftsanforderungen müssen mit Sicherheitsanforderungen in Einklang gebracht werden. Eine Möglichkeit, dieses Gleichgewicht zu verbessern, ist das kontinuierliche Engagement des Sicherheitsteams, das nicht nur Schwachstellen identifiziert, sondern auch den Entwicklungsteams hilft, diese zu verstehen und zu beheben.

Die Zukunft der IT-Sicherheit: KI und mehr

Die Landschaft der IT-Sicherheit entwickelt sich rasant weiter, mit bedeutenden Entwicklungen wie der Integration von künstlicher Intelligenz (KI) und der Zentralisierung von Tools. KI gibt es zwar schon seit einiger Zeit, aber sie wird bei der Erkennung von und Reaktion auf Bedrohungen immer wichtiger. Die Implementierung von KI ist jedoch nicht ohne Herausforderungen. Zu den Risiken gehören potenzielle Modellvergiftung, zunehmende Ermüdung durch falsch positive Meldungen und falsch negative Meldungen, bei denen das KI-Modell echte Bedrohungen nicht erkennt.

Dies sind nur einige der Möglichkeiten, wie wir unsere IT-Sicherheit mit Hilfe von KI erhöhen können. Denke immer daran, dass der menschliche Faktor entscheidend ist. Die Integration der IT-Sicherheit in den Softwareentwicklungsprozess ist nicht nur ein technisches Unterfangen, sondern hängt auch von der menschlichen Komponente ab. Auch wenn Technologien wie KI Ihre Sicherheitsmaßnahmen unterstützen können, sind die Erkenntnisse und Einschätzungen eines erfahrenen IT-Sicherheitsteams von unschätzbarem Wert. Lerne, wie sich Technologie und menschliches Fachwissen für einen sicheren Softwareentwicklungszyklus effektiv kombinieren lässt.

Auswirkungen auf die Softwareentwicklung

Auch für die Softwareentwicklung bringt KI sowohl Herausforderungen als auch Chancen mit sich. Eine Sorge ist, dass KI-Modelle, die auf historischen Daten trainiert wurden, Fehler oder Schwachstellen aus der Vergangenheit weitergeben könnten. Auf der anderen Seite kann KI die Entwicklungsprozesse beschleunigen, obwohl sie das menschliche Urteilsvermögen nicht ersetzen sollte.

Schlussfolgerung

IT-Sicherheit ist nicht nur eine Notwendigkeit, sondern ein Muss in der heutigen technologieabhängigen Welt. Sie erfordert ständige Wachsamkeit und einen kooperativen Ansatz. Das Streben nach kleinen, schrittweisen Verbesserungen in der Sicherheitslage Ihres Unternehmens kann auf lange Sicht erhebliche Vorteile bringen. Es ist besser, sich jeden Tag um 1 % zu verbessern, als zu stagnieren. Dieser schrittweise Fortschritt kann den entscheidenden Unterschied für die Zukunft Ihres Unternehmens in Bezug auf eine sichere Infrastruktur und Softwarelandschaft ausmachen.