Für die Bereitstellung des bestmöglichen Service verwenden wir Cookies. Mit der Nutzung der Website erklären Sie sich mit dem Einsatz einverstanden. Zur Datenschutzerklärung

Suche

«Vorbildfunktion in Sachen Sicherheit»

Bruno Habegger 22. Dezember 2022

Seit einem Jahr besteht innerhalb von Abraxas eine interdisziplinäre Sicherheitsgruppe, die «Software Security Group» (SSG). Daniel Scherrer, Chief Software-Architekt von Abraxas über die Hintergründe, Motivationen und die Zukunft der Gruppe.

Sicherheit auf allen Stufen, fest in der Organisation verankert: Die Software Security Group ist nur eines von drei Gremien bei Abraxas, die abteilungsübergreifend wirken. (Bild: Abraxas)

Die Software Security Group feiert den ersten Geburtstag. Was hat sie erreicht?

Daniel Scherrer: Wir haben schon immer die Messlatte für die sichere Softwareentwicklung hoch gelegt, doch die Gründung der Gruppe vor einem Jahr hat neue Prozesse und Methoden angeregt, die Sicherheit als roten Faden in die traditionellen Entwicklungs- und Operationsprozesse einschiessen. Das Bug-Bounty-Programm ist dabei nur eines von mehreren Elementen. Dazu gehört auch die Entwicklung eines Abraxas-spezifischen Maturitätsmodells. Es ist unsere Richtschnur bei der Entwicklung neuer Software.

Es war doch auch Anlass zur Gründung der Gruppe?

Genau. Wir haben damit auf die Kundenbedürfnisse reagiert. Das Thema ist entsprechend der Bedrohungslage in den letzten Jahren immer höher priorisiert worden. Der Staat ist hier besonders betroffen, da die Cyberkriminalität wichtige Strukturen unserer Gemeinschaft angreift. Das hat uns zur Gründung der SSG bewogen. Nur so haben wir neue Prinzipien der Softwareentwicklung breit abstützen können. Schon alleine das Thema der Transparenz. Früher haben Entwickler Schwachstellen lieber versteckt, in der Hoffnung, dass sie nie ein Hacker findet. Heute muss man davon ausgehen, dass er sie findet und darum rasch handeln.

Warum ist diese Transparenz sinnvoll?

Sie ist in der aktuellen Bedrohungslage zwingend. Die Vorstellung eines hochspezialisierten Hackers, Mitglied einer dunklen Gilde mit Geheimwissen, ist heute völlig falsch. Hacking ist ein Geschäftsmodell wie jedes andere auch – nur basiert es auf krimineller Energie und Strukturen. Das bedeutet in der Praxis, dass jeder einen Angriff starten kann. Fachwissen braucht es nicht zwingend, denn die nötigen Tools gibt es als vorkonfigurierten IT-Service. Mit wenigen hundert Dollar Investition lässt sich bereits eine globale Ransomware-Kampagne fahren.

Warum sollte man es ihnen noch leichter machen, indem man sogar den Quellcode einer Software offenbart?

Weil man dem Geschäftsmodell der Cyberkriminellen ein legales Modell für ethische Hacker entgegensetzt, die uns mit ihrer Denkweise als Security Researcher helfen, Schwachstellen zu identifizieren, die wir anschliessend intern beheben können. Das heisst nun aber auch, dass Sicherheit und Sicherheitsbewusstsein zentrale Anforderungen im gesamten Unternehmen sein müssen, von jedem Keyboard in jeder Abteilung aus, bis hin zu uns, den Spezialistinnen und Spezialisten in der Softwareentwicklung. Kurz: Sicherheit ist heute so hoch positioniert wie noch nie. Und Fehler in Software, das wird es immer geben und lässt sich nicht vermeiden. Entscheidend ist, dass wir die Lücke entdecken, bevor man sie ausnutzt.

Wie geht die SSG konkret vor?

Sie besteht aus mehreren Exponenten von Abraxas und steht derzeit unter dem Vorsitz von Security-Experte Darius Bohni von 442 Security – wir arbeiten oft mit ihm und anderen Experten aus der Forschung zusammen. Wir treffen uns regelmässig, im Normalfall alle 14 Tage für einen halbtägigen Austausch. Wir organisieren Trainings, besprechen aktuelle Cybersecurity-Herausforderungen, bilden Security Champions aus und weiter, triagieren die Findings aus dem Abraxas Bug-Bounty-Programm und stehen allen Abteilungen und Teams beratend in Sachen Sicherheit bei – auch Netzwerkoptimierungen haben wir schon konzipiert und umgesetzt.

Das geht aber doch deutlich über die Softwareentwicklung hinaus!

Ja. Aus gutem Grund: Security kann nie losgelöst von Infrastrukturen und Prozessen betrachtet werden – und schon gar nicht losgelöst von der Arbeitswirklichkeit der Mitarbeitenden. Darum war es uns wichtig, die SSG interdisziplinär zu gestalten, die Anwendersicht zu berücksichtigen und auch ein GL-Mitglied in seiner Sponsoring-Funktion mit an Bord zu haben.

Definiert das die weitere Entwicklung der SSG?

Ja. Wir möchten einerseits die Bug-Bounty-Programme begleiten und unseren Entwickler:innen ein verlässlicher Partner sein, andererseits die gesamte Organisation inspirieren, die Kultur der Sicherheit weiter verbessern. Sie ist bereits fortgeschritten, jedoch werden die Methoden der Cyberkriminalität raffinierter. Wir müssen Schritt halten. Sicherheit ist demnach ein steter Optimierungsprozess an der Schnittstelle zwischen Mensch, Software und IT-Infrastruktur. Dieses Denken lebt die SSG vor.

Bruno  Habegger

Über Bruno Habegger

Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er betreut das Abraxas Bug-Bounty-Programm kommunikativ. Der ehemalige Lokalpolitiker und Präsident einer Regionalpartei verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater.

Lesen Sie jetzt

  • So läuft die Jagd nach den Bounties

    In wenigen Wochen ist es soweit: Das neue Ergebnisermittlungssystem der Kantone SG und TG wird vom Private ins Public Bug-Bounty-Programm überführt. Zeit für eine erste Bilanz. Das Interesse der Security Researcher ist stark gestiegen. Dennoch sind die bisher eingetroffenen Findings vor allem unkritischer Natur.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    03.08.2022 Bounty
    Weiterlesen
  • Pizza Engineering

    Die Kolumne von Daniel Scherrer.
    Daniel Scherrer
    Daniel Scherrer // Chief Software Architect
    11.07.2022 Bounty
    Weiterlesen