Manche Entwickler lieben es, ausgeklügelten Code zu schreiben, andere nutzen seltsame Codebasen oder „abseits der Norm“ liegende Services – all das führt zu einem Dauergefecht mit Cybersicherheitsteams, die das Unternehmen und die Nutzer schützen wollen. So können beide Seiten mit einer guten Balance zwischen Funktionen und Sicherheit in relativer Ruhe koexistieren.

Unabhängig davon, ob Entwickler eine Windows- oder Linux-Anwendung, eine mobile App, einen Cloud-Service, einen Chatbot, ein Docker-Utility oder eine Progressive Web App entwickeln, werden oft – teils unbewusst – erhebliche Risiken eingegangen.

Cybersicherheitsteams wissen, dass bereits eine einzige Schwachstelle in der Anwendung oder in einem beliebigen Service, den sie berührt, ausreichen kann, um das Unternehmen oder seine Kunden für Hacker und deren Armee automatisierter Tools angreifbar zu machen.

Die Risiken entstehen unabhängig von der Historie des Entwicklungsteams. Von Rockstar-Entwicklern bis hin zu frisch von der Hochschule kommenden Absolventen: Eine fehlende Port-Referenz, das Ignorieren einer internen Regel oder das Übernehmen eines fragwürdigen Code-Schnipsels, der ein Problem löst, kann im Unternehmen verheerenden Schaden anrichten.

Lassen Sie uns Coding-Freunde sein

Beide Seiten stehen unter Druck: Führungskräfte erwarten, dass ihre Entwickler Apps und Tools am besten schon gestern zum Einsatz oder Verkauf fertigstellen. Gleichzeitig sollen Cybersicherheitsteams so unsichtbar und reibungslos wie möglich arbeiten und dabei alle vor den Armeen der Finsternis jenseits der Firewall schützen.

Der Schlüssel zum Erfolg sind eine klare Kommunikation und ein klar definierter Plan für jedes Projekt. Sicherheit muss ein gleichwertiger Bestandteil der Qualitäts-Checkliste sein, die jedes Projekt durchläuft. Viele Entwicklungsorganisationen wechseln zum DevOps-Modell, in dem modulare, zielbasierte Meilensteine den Lebenszyklus des Projekts markieren.

In Kombination mit agiler Entwicklung helfen sie, Projekte schnell voranzubringen – jedoch innerhalb eines strukturell definierten Prozesses für Qualität, Zielerreichung und Feature-Management. Ergänzt man diese Liste um Sicherheit, kann ein Unternehmen Apps entwickeln, die alle Sicherheitsanforderungen des Unternehmens erfüllen, auf Integrität getestet sind und sämtliche Branchen- oder behördlichen Standards einhalten.

Um dies zu erreichen, müssen sowohl die Sicherheitsverantwortlichen als auch die Entwicklungsteams an einem Strang ziehen und die Botschaft „Sicherheit als Qualität“ hervorheben. Durch integrierte Sicherheitsprüfungen, Code-Validierung und die Schulung aller Entwickler in Bezug auf Schwachstellen sowie regelmäßige Check-ins bis zur Fertigstellung ist ein sicheres Ergebnis für die Anwendung gewährleistet.

Jedes Unternehmen braucht einen Security Master

Eine zunehmend verbreitete Rolle in größeren Unternehmen ist ein Chief Digital/Information Security Officer (oder eine vergleichbare Position). In kleineren Unternehmen muss eine entsprechend qualifizierte Person diese Rolle übernehmen und für Reporting, Katalogisierung und Management von Sicherheitslösungen, Risiken und Schwachstellen verantwortlich sein.

Diese Person ist ein idealer zentraler Ansprechpartner, um die Entwicklungsteams auf die Sicherheitsanforderungen des Unternehmens auszurichten. Sie kann Teil des Entwicklungsteams sein und wird mit der Verantwortung für künftige Probleme eher dazu neigen, die Bemühungen des Teams konsequent zu überwachen. Um eine starke Verbindung zwischen beiden aufzubauen, müssen Teams beim Start eines Entwicklungsprojekts die vom Sicherheitsteam festgelegten Grundregeln befolgen.

Die Regeln der Coding-Straße

Schulungen oder Trainingstage, die die Notwendigkeit von Sicherheit verdeutlichen, zeigen, was passiert, wenn sie ignoriert wird, und die wichtigsten sowie kleineren Schwachstellen in Codiertechniken aufzeigen, die zu Hacks führen, helfen, Entwickler für Risiken zu sensibilisieren und die Problemfelder hervorzuheben.

Code-Bounties und Prämien können Entwickler dazu motivieren, Schwachstellen in der gesamten Codebasis des Projekts zu finden, und jedes Unternehmen sollte unternehmensweite Schulungen zum Erkennen von Hacks, Schwachstellen und anderen Wegen anbieten, über die Hacker Zugriff auf nativen Code erlangen könnten.

Diese Leitlinien – zusammen mit strengen Regeln für „übernommenen“ Code, die Nutzung externer Services und andere wahrscheinliche Schwachstellen – helfen jedem Unternehmen, robustere, sichere Anwendungen zu entwickeln.