Sichere Software – die Lücke zwischen der Entwicklung von Software und der Sicherheit von Software ist in Österreich nach wie vor groß. Wissensvermittlung zwischen SoftwareentwicklerInnen und Security-ExpertInnen findet nur selten außerhalb kommerzieller Dienstleistungen statt, zum Beispiel im Rahmen der sec4dev Conference & Bootcamp 2019.

Der Hacker-Angriff auf den Online-Katalog der Städtischen Büchereien Wien im Sommer 2019 hat neuerlich gezeigt, wie einfach Software-Schwachstellen ausgenutzt werden können. Dabei sind Security und Softwareentwicklung keine getrennten Skills, sondern Entwicklungsstufen. Mit der technischen Kompetenz von SoftwareentwicklerInnen steigt das Sicherheitsniveau, und je mehr Security-Skills die EntwicklerInnen haben, umso höher ist die Softwarequalität.

Bei solider Architektur, gut lesbarem Code und einem einfach wartbaren System gibt es laut ExpertInnen wenige Sicherheitsprobleme. Qualität und Security sind untrennbar miteinander verbunden. Sichere Software ist machbar, jedoch sind die österreichischen Software- und Security-Communities wenig bis nicht vernetzt. Der Transfer von Know-how findet oft nur im Rahmen kommerzieller Dienstleistungen statt. Dabei ist aus der Praxis bekannt, dass Wissensvermittlung die nachhaltigste Investition ist: „Mit dem Security-Aspekt in der Softwareentwicklung werden Ingenieure und Ingenieurinnen besser“, so Thomas Konrad, Senior Security Consultant bei SBA Research.

Sicherheit ist ein Treiber für die Qualität von Softwareprodukten – ein Umstand, der im Mindset von Unternehmen Fuß fassen sollte. Speziell der Gesundheitsbereich hat hier laut Thomas Konrad Nachholbedarf: „Besonders sensible Bereiche sind oft besonders schlecht abgesichert. Gerade im medizinischen Bereich gibt es viele Geräte, deren Software vom Hersteller nicht aktualisiert wird – schon ein einfacher Softwaretest gefährdet hier den laufenden Betrieb.“ Auch Formate zum Wissensaustausch zwischen SoftwareentwicklerInnen und Security-ExpertInnen sind derzeit noch selten, werden von den Zielgruppen allerdings gut angenommen.

„Investiert in Eure Softwareentwicklerinnen und -entwickler!“ – so die Kernbotschaft von Thomas Konrad und seinen KollegInnen. Ziel ist, die Lücke zwischen Security und Softwareentwicklung mittelfristig zu schließen und so die Qualität von Softwareprodukten nachhaltig zu erhöhen.

Die sec4dev Conference & Bootcamp 2019 findet vom 24. bis 27. Februar in Wien im Audimax der TU statt.