Um die Lücke zwischen der Entwicklung und der Sicherheit von Software zu schließen, bot die Fachkonferenz sec4dev Wissensvermittlung zwischen EntwicklerInnen und Security-ExpertInnen.

Zwei Tage Bootcamp, danach zwei Tage Konferenz im Audimax der TU Wien: Das Forschungsunternehmen SBA Research hatte Ende Februar zu einem dicht gepackten Programm für die Entwicklerszene geladen. Mit Erfolg: Die Teilnehmerzahl der sec4dev konnte im Vergleich zum Vorjahr verdoppelt werden. Insgesamt 23 Vortragende boten unterschiedliche Blickwinkel auf die notwendige Verschränkung von Software und Security.


Bild: Philippe De Ryck, Google Developer Expert und Gründer von Pragmatic Web Security

Über 97 % des Codes in Applikationen heute sind von externen Faktoren abhängig, verrät Keynote-Speaker Philippe De Ryck, Google Developer Expert und Gründer von Pragmatic Web Security. „Frameworks in der Softwareentwicklung erlauben die Arbeit an Applikationen mit Millionen Zeilen Code, von denen nicht eine einzige selbst geschrieben werden muss.“ Dies bedeute auch eine große Verantwortung an die weltweite Entwicklergemeinschaft. Doch sei Security „oft gar nicht so kompliziert, wie man meinen würde“, zitiert De Ryck einen Sicherheitsvorfall, der sich 2017 zugetragen hatte. Die US-Wirtschaftsauskunftei Equifax wurde über einen Zeitraum von mehreren Monaten gehackt und musste schließlich den Diebstahl von 147 Millionen sensiblen Kundendaten eingestehen. Doch war die Lücke in der betroffenen Software eigentlich vom Hersteller bereits geschlossen. Hätte es bei Equifax effiziente Patch-Prozesse gegeben, es wäre nicht zu dem Diebstahl gekommen. „Patchmanagement ist ein Führungsthema. Diese Verantwortung darf nicht an einzelne Mitarbeiter ausgelagert werden.“

Worauf gerade Softwareentwickler in Sicherheitsfragen achten sollten, macht der Experte an einem weiteren Beispiel fest: Mitarbeiter von Facebook konnten jahrelang auf die unverschlüsselten Passwörter der Nutzer zugreifen. Ähnliches war bei Twitter und der Entwickler-Plattform GitHub bekannt geworden. In Log-Files, die zur Dokumentation von Prozessen auf Webservern eingesetzt werden, wurden die Login-Daten der AnwenderInnen in Klartext gespeichert. Dass ein Monitoring-Feature zum Problem für die eigene Datensicherheit werden kann, sei keinesfalls ungewöhnlich, so De Ryck. „Kritisch wird es dann, wenn davon auch Banking- oder Gesundheitsanwendungen betroffen sind.“

„190 TeilnehmerInnen bei der zweiten Ausgabe der sec4dev zeigen, dass ein großes Interesse am Thema Sicherheit in der Softwareentwicklung besteht“, erklärt Konferenzorganisator Thomas Konrad, SBA Research. „Nur durch die Community gemeinsam können wir es schaffen, Sicherheit zu einem integralen Bestandteil in der Softwareentwicklung zu machen.“

Wie direkt aus der Forschung auch marktreife Produkte entstehen können, zeigten auf der sec4dev Thorsten Tarrach und Christoph Schmittner vom AIT. Mit „Threatget“ werden automatisiert Cyber-Sicherheitsbedrohungen und Schwachstellen bereits auf Modellebene erkannt. Das Tool aus Österreich wurde gemeinsam mit LieberLieber Software entwickelt und kommt bei komplexen Systemen wie beispielsweise in der Fahrzeugindustrie zum Einsatz.