Unsere Welt vernetzt sich immer mehr und immer feiner und die sichere Entwicklung von Software steht immer mehr im Fokus. Mit Maßnahmen wie NIS2 und dem Cyber Resilience Act reagiert die Europäische Union auf die erkannten Risiken für die Wirtschaft. Das Ziel: Industrie und Softwarehersteller sollen in Sachen Cyber- und Softwaresicherheit aufholen. Die in den Medien immer wieder thematisierten Hackerangriffe zeigen klar, dass bei der Entwicklung von Software von Anfang bis Ende auf Sicherheit geachtet werden muss.
Öffentliche Medien berichten vermehrt über Hackerangriffe und Datenlecks, die zu langanhaltenden Produktionsausfällen und Kundenforderungen nach hohen Schadensersatzsummen führen. Ein Imageverlust nach einem solchen Angriff bedeutet für Unternehmen erhebliche finanzielle Verluste. Um das Risiko zu minimieren, ist es entscheidend, Sicherheit nicht nur als zusätzliches Feature zu betrachten, sondern sie von Anfang bis Ende des Softwarelebenszyklus durch einen sicheren Entwicklungsprozess zu gewährleisten.
Sicherheit muss in allen Phasen der Softwareentwicklung – und darüber hinaus - eine zentrale Rolle spielen:
Sichere Anforderungen und Ideen.
Bereits in der Anforderungsphase muss die Sicherheit bedacht werden. Dazu gehört ein genau definiertes Sicherheitsumfeld ebenso wie Threat Models und die Begleitung durch einen Sicherheitsexperten zur Pflicht.
Sichere Implementierung.
Jede Zeile Code beinhaltet ein potenzielles Risiko. Nur durch sichere Implementierungsverfahren, Security Guidelines und geschulte Entwickler:innen kann eine sichere Lösung überhaupt entstehen.
Verwendung von sicheren Drittkomponenten.
Nicht nur eigener Code führt zu Sicherheitslücken. Nicht selten sind es auch Open-Source oder Zukaufkomponenten, die eine Schwachstelle verursachen. Daher ist auch die Auswahl und Prüfung von Drittkomponenten unerlässlich. Auch die Dokumentation in Form einer Software-Bill-of-Materials (SBOM) gehört zur Pflicht.
Sicherheitstests.
Durchgängiges Testen der Software ist Pflicht. Automatisiert muss die Softwaresicherheit bei jeder Änderung durch eigene Tests, genauso wie durch Sicherheitstools überprüft werden. Ein Penetration Test durch einen externen und damit unabhängigen Dienstleister rundet die Maßnahme ab.
Sichere Auslieferung und Betrieb.
Die sichere Auslieferung, ob in die Cloud, auf Smartphone, Desktop oder ein IoT-Gerät, muss in jedem Fall sichergestellt werden. Hierzu sind sichere Mechanismen zur Erstellung und Verteilung der Software, inklusive sicherer Updates und Überwachung von Cloud-Systemen notwendig.
Schwachstellenmanagement.
100%ige Sicherheit kann nicht erreicht werden. Diesem Umstand muss Rechnung getragen werden und Vorkehrungen getroffen sein. Eigene Prozesse und technische Vorbereitungen für schnelle Reaktionsfähigkeit gehören hier ebenso dazu, wie die Überwachung und das Management von Schwachstellen in verwendeten Drittkomponenten.
Sowohl die deutschen als auch die europäischen Gesetzgeber wollen die IT-Sicherheit in der Wirtschaft und bei Privatanwendern stärken und fairen Wettbewerb gewährleisten, der sich an gleichen Mindeststandards orientiert. Dabei werden Anforderungen an Produkte (Hard- und Software) sowie Unternehmensinfrastrukturen gestellt. Bei Nichteinhaltung drohen Verkaufsverbote, hohe Geldstrafen und sogar persönliche Haftung für Geschäftsführer.
M&M Software zertifiziert nach IEC 62443: Höchste IT-Sicherheitsstandards
Bei uns hat Sicherheit im Entwicklungsprozess schon lange vor den jüngsten gesetzlichen Maßnahmen höchste Priorität. Die Einhaltung der IEC 62443 Standards und des EU Cyber Resilience Act ist für uns selbstverständlich.
Mit der Zertifizierung nach IEC 62443 bekräftigen wir unsere hohen Cyber-Sicherheitsstandards in der Industrie und bieten unseren Kunden umfassenden Schutz vor Bedrohungen.