Wie Unternehmen ihre Sicherheitsdefizite reduzieren können
Sicherheitsschulden reichern sich wie technische Schulden an. Ungepatchte Software, mangelnde Tests und fehlende Transparenz zahlen darauf ein. Die Folgen können kostspielig sein.
Sicherheitsschulden (Security Debt) entstehen, wenn Unternehmen Schwachstellen und Sicherheitslücken im Bereich Cybersicherheit bestehen lassen und sich diese häufen, wodurch sie einem erheblichen und anhaltenden Risiko ausgesetzt sind. Im schlimmsten Fall können Sicherheitsschulden den Nährboden für eine verheerende Datenpanne bilden. Unternehmen, die Sicherheitsschulden verwalten und minimieren, verfügen über eine deutlich stärkere Sicherheitsposition.
Wie unterscheiden sich Sicherheitsschulden und technische Schulden
Technische Schulden beziehen sich auf die impliziten Kosten zukünftiger Arbeiten, die sich aus Abkürzungen während der Softwareentwicklung und -tests ergeben. Bei diesen Abkürzungen werden oft Geschwindigkeit oder unmittelbare Ziele gegenüber Qualität und langfristiger Wartbarkeit priorisiert.
Sicherheitsschulden können eine Organisation anfälliger für Datenschutzverletzungen, Malware- und Ransomware-Angriffe machen.
Als Teilbereich der technischen Schulden bezeichnet der Begriff Sicherheitsschulden (Security Debt) die Anhäufung von unbehandelten Sicherheitslücken und Risiken, die aus aufgeschobenen Updates, ignorierten Best Practices, schlechter Sichtbarkeit, mangelhafter Kommunikation und überstürzten Implementierungen resultieren. Sicherheitsschulden können auch in der Entwicklungsphase entstehen, wenn Entwickler bei der Programmierung die Best Practices für Sicherheit missachten.
Arten von technischen Schulden
Zu den Arten technischer Schulden gehören die folgenden:
Suboptimaler Code – beispielsweise Schulden auf Codeebene.
Komplexe oder ineffiziente Systemarchitekturen – zum Beispiel architektonische Schulden.
Unzureichende Tests oder unzureichende Dokumentation – zum Beispiel Schulden auf Prozessebene.
Veraltete oder minderwertige Datenmodelle – zum Beispiel Schulden auf Datenebene.
Schwer zu wartende Altsysteme – zum Beispiel Schulden auf Legacy-Ebene.
Zu den Folgen technischer Schulden zählen erhöhte Wartungskosten, verminderte Leistung und Anpassungsfähigkeit sowie mit der Zeit zunehmende Ineffizienzen und Risiken.
Arten von Sicherheitsschulden
Zu den Arten von Sicherheitsdefiziten, die entstehen können, gehören die folgenden:
Nicht gepatchte Software-Schwachstellen.
Veraltete Systeme und Technologien.
Schwache Authentifizierungsmaßnahmen.
Mangelnde Sicherheitsschulungen für Mitarbeiter.
Unzureichende Planung für die Reaktion auf Vorfälle.
Sicherheitsschulden können eine Organisation anfälliger für Datenschutzverletzungen, Malware- und Ransomware-Angriffe machen. Weitere Risiken sind Bußgelder aufgrund von Verstößen gegen Vorschriften sowie Reputationsschäden und der Verlust des Kundenvertrauens.
Um Sicherheitsschulden zu begegnen, müssen Unternehmen einen mehrgleisigen Ansatz verfolgen.
Wie man Sicherheitsschulden beseitigt und vermeidet
Die Reduzierung aufgelaufener Sicherheitsrisiken ist kostspieliger als die Investition in Cybersicherheit im Vorfeld der Planungs- und Implementierungsphase.
Es ist jedoch von entscheidender Bedeutung, bestehende Sicherheitslücken zu schließen, deren zukünftige Entstehung zu begrenzen und kostspielige Sicherheitsvorfälle zu verhindern. Zu den empfohlenen Maßnahmen gehören:
Bewertung der Software. Beginnen Sie mit einer gründlichen Bestandsaufnahme aller Software, egal ob gekauft, nicht lizenziert oder als Demoversion. Erstellen Sie für jede Software eine Liste der zugehörigen Softwarekomponenten. Vergleichen Sie diese Gesamtliste mit dem von MITRE veröffentlichten CVE-Portal oder der europäischen Schwachstellendatenbank sowie den diesbezüglichen Informationen des BSI beziehungsweise CERT-Bund sowie NIST. So lassen sich die kritischsten Punkte identifizieren, die am dringendsten angegangen werden müssen. Diese Liste wird zwar nicht vollständig sein, aber sie ist ein erster wichtiger Schritt zur Reduzierung der Sicherheitsrisiken.
Bewertung von Open-Source-Software. Tools zur Analyse der Softwarezusammensetzung bieten Entwicklern eine automatisierte und effiziente Möglichkeit, die Verwendung von Open-Source- und Drittanbieterkomponenten zu erkennen und zu überwachen. Auf diese Weise können Sie die Sicherheit und Lizenzkonformität dieser Komponenten überprüfen und das Risiko von Angriffen auf die Lieferkette verringern.
Zeitnahe Sicherheitsupdates. Verwenden Sie Metriken und richten Sie Kontrollen ein, um Software-Patches, Firmware-Updates und Betriebssystem-Upgrades zu verfolgen. In einer Cloud-Umgebung könnte dies eine Bewertung des Cloud-Anbieters mithilfe von Tools von Drittanbietern sowie die Ausweitung der Datensicherungen auf einen Drittanbieter oder sogar eine Migration zu einer sichereren Cloud-Infrastruktur umfassen. Stellen Sie außerdem sicher, dass die Verantwortlichkeiten für Patches klar zugewiesen und kommuniziert werden, damit wichtige Updates und Korrekturen nicht unter den Tisch fallen.
Planmäßige Bewertungen der Ursachen. Nachdem Sie ein kritisches Sicherheitsproblem behoben haben, sollten Sie untersuchen, warum es aufgetreten ist und eine Ursachenanalyse durchführen. Dadurch können grundlegende Mängel in der Architektur, im Design oder in den Tests aufgedeckt werden.
Integrieren Sie bewährte Verfahren für Cybersicherheit in die Entwicklung. DevSecOps-Verfahren ermöglichen es Entwicklern, sich aktiv an der Cybersicherheitskultur zu beteiligen. Dazu gehören sicheres Programmieren sowie der Einsatz von Tools zur Fehlerbehebung und Funktionen zur Erkennung von Schwachstellen in der Pipeline.
Eine Organisation, die diese Praktiken umsetzt, ist besser in der Lage, Lücken in ihrer Cyberabwehr zu erkennen und zu schließen, bestehende Sicherheitsschulden abzubauen und zukünftige Sicherheitsrisiken zu vermeiden.
