Dienstag, November 12, 2024
Schulterschluss für die Sicherheit

Um die Lücke zwischen der Entwicklung und der Sicherheit von Software zu schließen, bot die Fachkonferenz sec4dev Wissensvermittlung zwischen EntwicklerInnen und Security-ExpertInnen.

Zwei Tage Bootcamp, danach zwei Tage Konferenz im Audimax der TU Wien: Das Forschungsunternehmen SBA Research hatte Ende Februar zu einem dicht gepackten Programm für die Entwicklerszene geladen. Mit Erfolg: Die Teilnehmerzahl der sec4dev konnte im Vergleich zum Vorjahr verdoppelt werden. Insgesamt 23 Vortragende boten unterschiedliche Blickwinkel auf die notwendige Verschränkung von Software und Security.


Bild: Philippe De Ryck, Google Developer Expert und Gründer von Pragmatic Web Security

Über 97 % des Codes in Applikationen heute sind von externen Faktoren abhängig, verrät Keynote-Speaker Philippe De Ryck, Google Developer Expert und Gründer von Pragmatic Web Security. „Frameworks in der Softwareentwicklung erlauben die Arbeit an Applikationen mit Millionen Zeilen Code, von denen nicht eine einzige selbst geschrieben werden muss.“ Dies bedeute auch eine große Verantwortung an die weltweite Entwicklergemeinschaft. Doch sei Security „oft gar nicht so kompliziert, wie man meinen würde“, zitiert De Ryck einen Sicherheitsvorfall, der sich 2017 zugetragen hatte. Die US-Wirtschaftsauskunftei Equifax wurde über einen Zeitraum von mehreren Monaten gehackt und musste schließlich den Diebstahl von 147 Millionen sensiblen Kundendaten eingestehen. Doch war die Lücke in der betroffenen Software eigentlich vom Hersteller bereits geschlossen. Hätte es bei Equifax effiziente Patch-Prozesse gegeben, es wäre nicht zu dem Diebstahl gekommen. „Patchmanagement ist ein Führungsthema. Diese Verantwortung darf nicht an einzelne Mitarbeiter ausgelagert werden.“

Worauf gerade Softwareentwickler in Sicherheitsfragen achten sollten, macht der Experte an einem weiteren Beispiel fest: Mitarbeiter von Facebook konnten jahrelang auf die unverschlüsselten Passwörter der Nutzer zugreifen. Ähnliches war bei Twitter und der Entwickler-Plattform GitHub bekannt geworden. In Log-Files, die zur Dokumentation von Prozessen auf Webservern eingesetzt werden, wurden die Login-Daten der AnwenderInnen in Klartext gespeichert. Dass ein Monitoring-Feature zum Problem für die eigene Datensicherheit werden kann, sei keinesfalls ungewöhnlich, so De Ryck. „Kritisch wird es dann, wenn davon auch Banking- oder Gesundheitsanwendungen betroffen sind.“

„190 TeilnehmerInnen bei der zweiten Ausgabe der sec4dev zeigen, dass ein großes Interesse am Thema Sicherheit in der Softwareentwicklung besteht“, erklärt Konferenzorganisator Thomas Konrad, SBA Research. „Nur durch die Community gemeinsam können wir es schaffen, Sicherheit zu einem integralen Bestandteil in der Softwareentwicklung zu machen.“

Wie direkt aus der Forschung auch marktreife Produkte entstehen können, zeigten auf der sec4dev Thorsten Tarrach und Christoph Schmittner vom AIT. Mit „Threatget“ werden automatisiert Cyber-Sicherheitsbedrohungen und Schwachstellen bereits auf Modellebene erkannt. Das Tool aus Österreich wurde gemeinsam mit LieberLieber Software entwickelt und kommt bei komplexen Systemen wie beispielsweise in der Fahrzeugindustrie zum Einsatz.

Meistgelesene BLOGS

Mario Buchinger
07. August 2024
Der Ruf nach Resilienz in den Lieferketten wird lauter. Nach den Erfahrungen einer weltweiten Pandemie und den immer deutlicheren Auswirkungen der Klimakrise scheint das sinnvoll. Doch was macht eine ...
Nicole Mayer
19. August 2024
Am qualityaustria Excellence Day im Juni wurde nicht nur das AMS Kärnten mit dem Staatspreis Unternehmensqualität 2024 ausgezeichnet, sondern auch drei weitere exzellente Unternehmen zum Staatspreis n...
Marlene Buchinger
09. August 2024
CSRD, ESRS, CBAM – Nachhaltigkeitsbegriffe schnell erklärt. Nachhaltigkeit wird immer mehr Teil der Führungsarbeit. Daher lohnt ein Blick auf die wichtigsten Begriffe. Wie in jeder Fachdisziplin gibt ...
Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Marlene Buchinger
07. August 2024
Schulungsangebote und ESG-Tools schießen wie Pilze aus dem Boden. Doch anstelle das Rad neu zu erfinden, sollten bestehende Strukturen neu gedacht werden. Die Anforderungen an Unternehmen punkto Verbe...
Marlene Buchinger
07. August 2024
Was bedeutet Nachhaltigkeit und warum ist das Thema so wichtig? Der Begriff Nachhaltigkeit und die damit verbundenen Veränderungen werfen bei vielen Führungskräften noch Fragen auf. Aus diesem Grund e...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...

Log in or Sign up