Die Security Konferenz sec4dev wurde von SBA Research mit dem Ziel ins Leben gerufen, die Software Security Welt nachhaltig und positiv zu beeinflussen.
„Auch 2020 gibt es noch einen großen Bedarf an Awareness bei Entscheidungsträgern“, betont Stefan Jakoubi, Head of Professional Services von SBA Research.
Das gelungene sec4dev Logo Olivia zeigt, was Developer können müssen: kreativ coden – aber sich auch in Angreifer hineindenken können.
Olivia – das Logo der sec4dev
In seiner Keynote How security affects the people behind code weist der Web Security Expert Philippe De Ryck darauf hin, dass Security in Firmen oft als lästig wahrgenommen wird und damit die Arbeit der Developer unbedankt ist, manchmal sogar behindert wird. Bei einem Sicherheitsvorfall allerdings wälzt das Management dann gerne die Schuld auf die Developer ab. So gilt es Problembewusstsein in der Führungsebene zu schaffen – aber natürlich auch bei denen, die die Software entwickeln: Applications müssen immer up-to-date gehalten werden, der Security Release Prozess schnell sein und es muss entsprechend getestet werden.
Anhand der US Firma Equifax, deren Fall sogar Anlass zu einer Regierungsuntersuchung wurde (zeigt er ein Worst-Case-Szenario bei der Behandlung eines Sicherheitsvorfalles auf.
Unternehmen jeder Größe gibt De Ryck den Rat: „Wenn Sie sich nicht sicher sind bezüglich der Security in Ihrem System, holen Sie einen Experten!“. Meldungen in den verschiedenen Medien über schlechte Software sind zu hinterfragen, zu leicht ist es auf Halbwahrheiten und Lügen hineinzufallen. Bevor man auf vermeintlich nachlässige Developer schimpft, sollte man sich informieren, was tatsächlich dahinter steckt und schließlich für die eigene Entwicklung lernen.
Christoph Schmittner und Thorsten Tarrach, beide Austrian Institute of Technology, stellen den AIT-Ansatz von Threat Modeling vor: ThreatGet. Es wurde mit der Firma LieberLieber als Partner für die Kommerzialisierung entwickelt, da der klassische STRIDE-Ansatz für komplexere Systeme nicht die notwendigen Möglichkeiten bietet. Bei ThreatGet ist eine strenge Dokumentation und Zertifizierbarkeit möglich, was vor allem auch im medizinischen und automotive Bereich wichtig ist. „Für Threat Modeling ist ein Außenblick notwendig, und zwar von jemanden, der Erfahrung mit Angriffen hat“, stellt Schmittner fest.
Prof. Laura Kovacs, TU Wien, stellt die jüngsten Entwicklungen in Automated Reasoning mit dem Vampire Theorem Prover vor und präsentiert in ihrem Beitrag den akademischen Ansatz zu Softwaresicherheit.
Beim Expert-Panel wurde noch einmal betont, wie wichtig es ist, dass die Developer vom Anfang an den Security-Aspekt mitdenken. Developer und Management müssen den Security-Gedanken gemeinsam tragen. Stefan Jakoubi wies darauf hin, dass Security für die Unternehmen auch immer eine Kostenfrage ist und meinte, dass daher wahrscheinlich strengere Vorgaben notwendig sind, um den CISOs den Rücken in Budgetverhandlungen zu stärken.
Die Haftungsfrage für Developer wurde von Lukas Feiler in seinem Vortrag Legal liability for insecure software – „write once, cause damage elsewhere“ beleuchtet. Risiken müssen technisch und rechtlich abgesichert sein – und je besser der Vertrag, umso größer die Chancen vor Gericht.
In den Pausen nutzten die KonferenzteilnehmerInnen die Möglichkeit, mit den Ausstellern und Unterstützern der Veranstaltung ins Gespräch kommen.
Dem SBA-Team unter der Leitung von Thomas Konrad gebührt großes Lob für die gelungene Veranstaltung und ausgezeichnete Moderation. „Security muss zum integralen Bestandteil der Software-Entwicklung gemacht werden. Dafür steht die sec4dev, eine Plattform für Developer, die in Österreich einzigartig ist“, betont Konrad.
EDU/days 2024
