Sicherheit und Qualitätssicherung in der Softwareentwicklung

Forscher des EC SPRIDE unterhielten sich mit Experten aus den Bereichen Softwareentwicklung und IT-Sicherheit, um Trends in der Entwicklung und deren sicherheitstechnische Auswirkungen festzumachen.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Julia Schmidt

Mitarbeiter des in Darmstadt ansässigen European Center for Security and Privacy by Design (EC SPRIDE) haben nun die Ergebnisse ihrer Gespräche mit 23 Experten aus der Softwareentwicklung und IT-Sicherheit in einer Studie veröffentlicht. In ihr beleuchten sie derzeitige Strömungen in der Herstellung von Softwareprodukten und gehen näher auf deren Auswirkungen auf sicherheitstechnische Aspekte ein.

Besonderen Einfluss auf die Art, wie Entwickler heute arbeiten, hat – wenig überraschend – das höhere Tempo, in dem Produkt-Releases gefordert werden. Dies führt laut der Studie unter anderem dazu, dass häufig auf vorgefertigte Bausteine und agile Methoden zurückgegriffen wird. Außerdem arbeitet man häufiger modular, was auch bedeutet, dass bei Sicherheitsfragen entsprechend zu denken ist. Dadurch dass oft historisch gewachsener Code mit neuem zusammenarbeiten muss und zudem Bibliotheken und Ähnliches von Drittanbietern ihren Weg in die Produkte finden, sind außerdem das Kapseln von Code und das Abschotten von Systemen eine beliebte Praxis zum Erstellen sicherer Produkte.

Um sicherheitskritische Fehler zu umgehen, verweist die Studie auf automatisierte Qualitätssicherungsmaßnahmen, wobei bei der Sicherheitsprüfung besonders skalierbare Werkzeuge von Bedeutung sind, die große, komplexe Systeme untersuchen können. Ein guter Weg ist auch der Einsatz von IDEs und Bibliotheken, die Vorschläge für sicheren Code machen oder solchen generieren, wobei hier nach Expertenmeinung wohl noch viel Raum für Verbesserung ist. Auf ihrer Wunschliste steht auch eine Art Zertifizierung für sichere Frameworks, wobei hier ein Hauptproblem ist, dass derzeit keine sinnvollen Metriken zum Messen der Sicherheit existieren.

Eine zentrale Rolle, um die Sicherheit von Software zu gewährleisten, spielen auch Aus- und Weiterbildungen, die den neuen Gegebenheiten anzupassen sind. So empfehlen die Autoren der Studie etwa, die Lehrpläne mehr an die Realität anzupassen und dafür zu sorgen, dass nach einer Ausbildung in einem relevanten Fach ein grundlegendes Sicherheitswissen bei den Absolventen vorhanden ist – egal wo sie gelernt haben. Aber auch in die Bildung angestellter Entwickler sei zu investieren, da Faktoren wie das hohe Veröffentlichungstempo, ständig wechselnde Anforderungen, das Zusammenspiel mit anderen Komponenten und einem durch agile Methoden flexibel gewordenem Rollenbild ein ordentliches Wissen über eventuelle Sicherheitsschwachstellen und sicherheitstechnischen Auswirkungen von Änderungen essenziell ist. Dies kann auch deshalb wichtig sein, weil ein Trend wohl immer mehr Quereinsteiger unter den Entwicklern sieht.

EC SPRIDE ist ein staatlich gefördertes Kompetenzzentrum der Technischen Universität Darmstadt. In Zusammenarbeit mit dem Fraunhofer Institut für Sichere Informationstechnologie (SIT) beschäftigen sich die dort arbeitenden Forscher mit der Frage, wie Entwickler von Software und IT-Systemen ab Entwurf die Sicherheit ihrer Produkte gewährleisten können. (jul)