Eberbacher Gespräche: Sichere Softwareentwicklung

Fraunhofer-Institut für sichere Informationstechnologie

Die „Eberbacher Gespräche: Sichere Softwareentwicklung“ fokussieren sich auf die Herausforderungen, die bei der Entwicklung sicherer Software auftreten, und erarbeiten konkrete Handlungsempfehlungen, um die Sicherheit in der Softwareentwicklung zu verbessern. Die Gespräche, die vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) organisiert wurden, brachten Experten aus Wissenschaft und Industrie zusammen, um die bestehenden Probleme und möglichen Lösungen zu diskutieren.

Bedeutung der Software-Sicherheit

Die Sicherheit von Software ist ein zentraler Bestandteil der IT-Sicherheit. Fast jede größere Software enthält Schwachstellen, die Angreifer ausnutzen können. Da Software in fast allen Bereichen der modernen Gesellschaft, von Finanzsystemen bis zu kritischen Infrastrukturen, eine entscheidende Rolle spielt, stellt dies eine enorme Bedrohung dar. Schwachstellen in der Software können von Endnutzern oft nicht selbst behoben werden, was die Verantwortung auf die Softwarehersteller verlagert. Diese jedoch sind oft nicht in der Lage oder bereit, genügend Ressourcen in die Sicherheitsentwicklung ihrer Produkte zu investieren.

Herausforderungen und Empfehlungen

Die Teilnehmer der Eberbacher Gespräche identifizierten sieben zentrale Herausforderungen und erarbeiteten Empfehlungen, wie diesen begegnet werden kann:

1. Automatisierte Testwerkzeuge: Heutige Testwerkzeuge zur Sicherstellung der Software-Sicherheit sind oft unzureichend, insbesondere bei kleinen und mittleren Unternehmen (KMU). Es wird empfohlen, dass Forschung und Industrie gemeinsam Werkzeuge entwickeln, die eine bessere Erkennung von Schwachstellen ermöglichen und gleichzeitig leichter in bestehende Entwicklungsprozesse integriert werden können.
2. Messbarkeit der Software-Sicherheit: Die Entwicklung von Methoden zur Messung der Software-Sicherheit ist eine Herausforderung. Unternehmen benötigen genaue Kennzahlen, um ihre Investitionen in Sicherheitsmaßnahmen zielgerichtet steuern zu können. Es sollte angestrebt werden, Modelle und Verfahren zu entwickeln, die eine quantitative Bewertung der Sicherheit von Software ermöglichen.
3. Leichtgewichtige Zertifizierung: Viele derzeit existierende Zertifizierungssysteme, wie die Common Criteria, gelten als unpraktisch und teuer. Die Teilnehmer fordern die Entwicklung eines neuen Zertifizierungssystems, das einfacher anzuwenden, kostengünstiger und gleichzeitig aussagekräftig ist. Ein solches System sollte flexibel genug sein, um sich an die unterschiedlichen Anforderungen von Software-Projekten anzupassen.
4. Flexible Sicherheitsprozesse: Besonders kleinere Unternehmen verwenden häufig keine definierten Prozesse zur Entwicklung sicherer Software, da sie den Aufwand für zu hoch halten. Es wird empfohlen, Sicherheitsprozesse zu entwickeln, die sich flexibel an die jeweiligen Unternehmensstrukturen anpassen lassen, um auch in agilen Entwicklungsumgebungen praktikabel zu sein.
5. Haftungsfrage: Die Frage der Haftung für Sicherheitsmängel in Software ist weitgehend ungeklärt. Die Experten fordern eine Klärung dieser Haftungsfrage, die sowohl Softwarehersteller als auch Endnutzer und Gesetzgeber einbezieht. Eine klare Regelung könnte nicht nur das Vertrauen in die IT-Sicherheit stärken, sondern auch einen Wettbewerbsvorteil für deutsche Hersteller bieten.
6. Mehr Sicherheit fordern: Es wird vorgeschlagen, dass staatliche Vergaberichtlinien angepasst werden sollten, um mehr Sicherheit bei der Softwareentwicklung zu fördern. Dies könnte durch die Festlegung von Mindestanforderungen an die IT-Sicherheit und durch finanzielle Anreize für entsprechende Forschungs- und Entwicklungsprojekte erreicht werden.
7. Ausbildung: Die Komplexität der Software-Sicherheit erfordert hochqualifizierte Fachkräfte, die jedoch oft fehlen. Es wird vorgeschlagen, dass sichere Softwareentwicklung in die Ausbildung von IT-Fachkräften integriert und als Querschnittsthema etabliert wird. Auch die kontinuierliche Weiterbildung von Fachkräften sollte fest in die Unternehmensstruktur eingebunden werden.

Fazit

Die Eberbacher Gespräche verdeutlichen, dass die Entwicklung sicherer Software eine der größten Herausforderungen der IT-Sicherheit darstellt. Die präsentierten Handlungsempfehlungen bieten konkrete Ansätze, um die Software-Sicherheit sowohl auf technischer als auch auf organisatorischer Ebene zu verbessern. Von der Einführung automatisierter Testwerkzeuge bis zur Klärung der Haftungsfrage und der Förderung der Ausbildung – alle Maßnahmen zielen darauf ab, die IT-Sicherheit nachhaltig zu stärken. Eine stärkere Zusammenarbeit zwischen Forschung, Industrie und Politik ist entscheidend, um die notwendigen Entwicklungen in der Software-Sicherheit voranzutreiben.

Bericht herunterladen