Softwareentwickler spielen eine entscheidende Rolle im Bereich der Cybersicherheit, so Jen Easterly, die Leiterin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA). Sie bezeichnete diejenigen, die fehlerhaften und unsicheren Code produzieren, als die wahren „Bösen“ in der Cyberkriminalitätsgeschichte während ihrer Eröffnungsrede auf der Mandiant mWise-Konferenz. Ihrer Meinung nach sind es technologischer Anbieter, die Probleme in ihre Produkte einbauen, die dann Angreifern den Einstieg in die Systeme ihrer Opfer erleichtern.
In ihren Ausführungen drängte Easterly die Anwesenden dazu, der Versuchung zu widerstehen, kriminelle Gruppen mit glamourösen, poetischen Namen zu versehen. Mehr humorvoll als ernsthaft fragte sie, ob man nicht kreativere, weniger schmeichelhafte Namen wählen könnte, wie „Schwache Plage“ oder „Bösartiger Frettchen“.
Software-Schwachstellen neu denken
Außerdem kritisierte sie den Begriff „Software-Schwachstelle“, den sie für viel zu nachsichtig hält. „Wir sollten von ‚Produktfehlern‘ sprechen“, so Easterly. Statt die Opfer dafür zu tadeln, dass sie ihre Software nicht schnell genug aktualisieren, müsse die Frage lauten: Warum benötigt Software so viele dringende Updates? Als Leiterin der CISA fordert sie mehr Verantwortung von den Technologieanbietern.
Obwohl der Cyber-Sicherheitsmarkt Milliarden von Dollar einnimmt, besteht laut Easterly weiterhin ein massives Problem mit der Softwarequalität, das zu weltweiter Cyberkriminalität im Wert von Billionen führt. Ihre pointierte Metapher betonte, dass kein Mensch käme auf die Idee, ein Auto oder ein Flugzeug „vollkommen auf eigenes Risiko“ zu betreten, während wir im Alltag Software nutzen, die kritische Infrastrukturen steuert.
Die Problematik wird auch durch das, was sie als Mythos des „technologischen Ausnahmezustands“ bezeichnet, verstärkt. Sie ist überzeugt, dass das Hauptproblem nicht die Cybersicherheit an sich ist, sondern die Qualität der Software: „Wir benötigen nicht mehr Sicherheitsprodukte, wir brauchen sichere Produkte.“
Dieser Standpunkt ist keine neue Erkenntnis, denn seit ihrer Amtsübernahme betont sie immer wieder, dass sichere Codes der einzige Weg sind, um Cyberangriffe und Ransomware-Angriffe zur Ausnahme zu machen. Auf der RSA-Konferenz unterzeichneten fast 70 namhafte Unternehmen, darunter AWS, Microsoft und Google, CISA’s „Secure by Design“-Pledge. Dies ist eine Verpflichtung, binnen eines Jahres an sieben Sicherheitszielen zu arbeiten und Fortschritte messbar zu zeigen.
Einkaufsberechtigung nutzen
Auf der mWise-Konferenz gab Easterly bekannt, dass mittlerweile fast 200 Anbieter diese Zusage getroffen haben. Doch da die Initiative freiwillig ist, werden Firmen, die die Richtlinien, wie die Einführung von Multi-Faktor-Authentifizierung, missachten, keine direkten Konsequenzen zu erwarten haben.
Easterly möchte, dass sich dies ändert. Sie empfahl, dass Technologieabnehmer ihre Einkaufsmacht nutzen, um Druck auf Softwareanbieter auszuüben, und bei den Lieferanten nachfragen, ob sie die Zusage unterzeichnet haben und ob sie tatsächlich mehr tun als nur „Tinte auf Papier“.
Daher hat die CISA kürzlich eine Anleitung veröffentlicht, die Organisationen beim Kauf von Software unterstützen soll. Diese enthält Fragen, die Käufer den Herstellern stellen sollten, um zu klären, ob Sicherheitsaspekte im Entwicklungsprozess der Produkte Priorität haben.
Um das Anliegen zu unterstreichen, forderte Easterly die Anwesenden auf, ihre Stimme zu nutzen und aktiv zu werden, indem sie die Nachfrage nach sicheren Produkten fördern: „Setzen Sie sich dafür ein, dass es so zur Norm wird.“ Sie schloss mit der Hoffnung, dass immer mehr Anbieter die Bedeutung von Vorabtests und sicherem Code ernst nehmen.
Ein detaillierter Bericht zu den Inhalten von Easterlys Rede und der Umsetzungsstrategie ist verfügbar auf www.theregister.com.
