IBM startet Sicherheitsinitiative "Secure by Design"

IBM verstärkt das Engagement im Bereich IT-Sicherheit. In der neuen Initiative "Secure by Design" (SbD) sind jetzt alle Produkte, Services und Forschungsarbeiten zur Verbesserung der Softwaresicherheit zusammengefasst. Zu SbD gehören Security-Bereiche wie Governance, Risk-Management und Compliance sowie IBMs Angebotspalette zum Thema bestehend aus Produkten, Beratungsleistungen und Hosted-Services.

Auch wenn es sich bei SbD gegenwärtig nur um ein Framework handelt – und nicht um eine wirklich integrierte Suite –, so arbeitet IBM bereits an einer zunehmenden Verzahnung von allen Komponenten. Die einzelnen Komponenten sind zum größten Teil eine Folge der Einkaufstour von Big Blue in den vergangenen Jahren.

Als Teil des neuen Frameworks stellte IBM auf der diese Woche tagenden Entwickler-Konferenz "Innovate 2010“ (vormals Rational Software Conference) neue Produkte und Verbesserungen vor. Damit soll die Prüfung von Sicherheitsrisiken immer weiter an den Anfang des Entwicklungsprozesses verlagert werden. "Abwarten, bis eine Anwendungssoftware im Markt Fehler aufweist und diese dann patchen ist riskant und kann verdammt teuer werden“, sagte Marc van Zadelhoff, IBMs Direktor für den Bereich Sicherheitslösungen.

Zu den jetzt vorgestellten Neuheiten gehört das Secure Engineering Framework, eine Anleitung, wie Software sicherer erstellt und deployt werden kann. Sie enthält Checklisten, Templates und Anweisungen für Softwareentwickler, das Management und die Sicherheitsverantwortlichen. Dazu kommt das Sourcecode-Testprogramm AppScan Source Code Edition 7.0, mit dem sich in einem frühen Stadium neue Programme auf potenzielle Schwachstellen überprüfen lassen. Die Technik geht auf IBMs Akquisition von Ounce Lab vor einem Jahr zurück. Die neue Version kann erstmalig JavaScript-, PHP- und Perl-Code scannen. Mit den Sourcecode Assessment Services will IBM seinen Kunden bei der Überprüfung von bestehenden Programmen behilflich sein. Dabei untersuchen die IBM-Mitarbeiter Sourcecode, skizzieren das Risiko und empfehlen Gegenmaßnahmen. Schließlich bietet IBM ein Update auf Tivolis Access-Management. Es berücksichtigt vor allem die neuen Sicherheitsrisiken, wie sie durch Cloud Computing und der verstärkten Nutzung von mobilen Endgeräten entstehen.

"Mit den neuen Tools können die Faktoren Sicherheit und Compliance schon in einem frühen Stadium berücksichtigt werden“, meinte David Grant, IBMs Marketing-Chef für die Sicherheitsprodukte. Doch eines der größeren Probleme sei laut IBM derzeit nicht die Technik zum Überprüfen von Programmen, sondern das fehlende Sicherheitsbewusstsein bei den Programmierern. "Frisch ausgebildete Softwareentwickler wissen viel über die raffiniertesten Computer-Techniken, aber viel zu wenig über minimale Vorkehrungen zur Erstellung von sicheren Programmen", beklagte van Zadelhoff den aktuellen Zustand.

Dabei sei eine deutliche Verbesserung der IT-Security nötiger denn je, denn insgesamt steigt die Bedrohung von IT-Systemen weiterhin rasant an. "Es ist bereits gelungen, die Embedded-Systeme eines Autos zu knacken“, sagt beispielsweise Hans Windgassen, IBMs Manager für den Bereich Automotive-Software. Und kurz vor der IBM-Veranstaltung berichtete RSA, dass es gelungen sei, von einer Virtual Machine (VM) aus auf die Daten einer anderen VM zuzugreifen, sofern diese auf derselben Hardware läuft. (ane)