Unsichere Software ist inzwischen die Hauptursache von IT-Sicherheitsproblemen

Vernachlässigung von Softwaresicherheit erhöht Risiken von Unternehmen

(10.03.11) - Die mangelnde Berücksichtigung von sicheren Prozessen und Vorgehensweisen im gesamten Softwarelebenszyklus erzeugt erhebliche Risiken für Unternehmen, Behörden und Privatpersonen. Das ist das Fazit der internationalen Umfrage zur "Sicherheit im Application Lifecycle Management", durchgeführt durch das Analystenhaus Creative Intellect Consulting.

In Zusammenarbeit mit (ISC)2, einer Non-Profit-Organisation zur Weiterbildung und Zertifizierung von Fachkräften für Informationssicherheit, sowie der International Association of Software Architects (IASA), hat Creative Intellect eine weltweite Umfrage unter Experten für Software-entwicklung, IT- und Informationssicherheit durchgeführt. Die Ergebnisse sind:

· Best Practices für die Prüfung der Sicherheit und Qualität von Software werden nicht befolgt.

Obwohl viele der Befragten bestätigt haben, ihre Entwicklungs- und Bereitstellungsprozesse zu prüfen, werden Verfahren zur Sicherstellung der Sicherheit und der Qualität von Software von

59 Prozent der Umfrageteilnehmern nicht "konsequent" durchgeführt. 26 Prozent wenden nur teilweise oder überhaupt keine sicheren Softwareentwicklungsprozesse an. Nur 48 Prozent der Befragten gaben an, Prüfungsverfahren konsequent zu befolgen. Änderungsmanagement-Prozesse werden allerdings von über 93 Prozent der Befragten eingehalten.

· Die Führungsebene in Unternehmen engagiert sich zu wenig für eine höhere Sicherheit im Softwarelebenszyklus.

Auf die Frage, was eine Verbesserung der Sicherheit für den gesamten Softwarelebenszyklus hemmt, wurden von fast zwei Dritteln der Befragten die mangelnde Unterstützung seitens der Unternehmensführung sowie unzureichende Investitionen als Hauptgründe angeführt. 69 Prozent gaben an, es fehle an der richtigen Unternehmenskultur, Einstellung und Mentalität, und ebenso

69 Prozent empfanden das Fehlen angemessener Prozesse als größtes Hindernis.

· Es besteht ein klarer Bedarf an geeignete Schulungen und Weiterbildungen.

Über 57 Prozent der Befragten waren der Meinung, dass der Mangel an Schulungen und Weiter-bildungen entschieden dazu beiträgt, dass die Softwaresicherheit leidet. Mehr als 70 Prozent fanden, es gebe keine ausreichenden Sicherheitsrichtlinien für wichtige Technologiemodelle wie Cloud Computing, Virtualisierung, mobile Endgeräte und Mainframes.

· Es besteht die Tendenz an den falschen stellen zu investieren.

Mehr als die Hälfte der Befragten gaben an, dass ihrer Meinung nach Investitionen in Tools und Prozesse für die Qualitätssicherung (QS) am meisten zur Steigerung der Sicherheit im gesamten Software-Entwicklungszyklus beitragen würden. Dennoch machten ca. 5 Prozent die QS dafür verantwortlich, dass Bugs und Probleme nicht erkannt werden. Creative Intellect weist darauf hin, dass die QS praktisch der "Gate Keeper" im Entwicklungsprozess ist und nicht als primärer Investitionsschwerpunkt betrachtet werden sollte. Die Weichen für sichere Software werden bereits in der Planung gestellt.

· Compliance ist ein Schlüsselfaktor für die Sicherheit.

66 Prozent der Befragten gaben an, die Einhaltung von gesetzlichen Vorschriften und Verordnungen sei der wichtigste Faktor für die Berücksichtigung der Sicherheit im Softwareentwicklungszyklus. Dicht darauf folgten die Unternehmenssicherheits- und Risikomanagementstrategie (56 Prozent) sowie striktere Kundenanforderungen (45 Prozent). Das zeigt, dass Unternehmen allmählich damit beginnen, ein stärkeres Sicherheitsverhalten bei ihren Zulieferern und Geschäftspartnern durchzu-setzen.

"Sicherheit spielt in den letzten Jahren eine immer größere Rolle", sagt Bola Rotibi, Gründerin von Creative Intellect Consulting und Softwareexpertin. "Deshalb überrascht es eigentlich, dass so viele Entwicklungs- und Vertriebshäuser für Software entscheidende Prozesse zur Gewährleistung von Sicherheitsstandards vernachlässigen. Es ist höchste Zeit, dass wir aufhören, Entwicklern die Schuld für Sicherheitsmängel zu geben. Vielmehr sind die Entscheider gefragt, die Voraus-setzungen dafür zu schaffen, dass Software höchsten Sicherheitsansprüchen gerecht wird. Denn unsichere Software ist inzwischen die Hauptursache von IT-Sicherheitsproblemen."

John Colley, CISSP, Managing Director EMEA, (ISC)2, ergänzt: "Diese Umfrage zeigt, dass es beträchtliche Mängel in der Umsetzung von kritischen Sicherheits- und Qualitätsprozessen gibt. Hinzu kommt, dass die mangelnde Unterstützung seitens der Chefetage und unzureichende Investitionen beispielsweise in die Entwicklung und Bereitstellung sicherer Software dies stark erschweren." ((ISC)2: Creative Intellect Consulting: ma)