Die Software Security Group feiert den ersten Geburtstag. Was hat sie erreicht?
Daniel Scherrer: Wir haben schon immer die Messlatte für die sichere Softwareentwicklung hoch gelegt, doch die Gründung der Gruppe vor einem Jahr hat neue Prozesse und Methoden angeregt, die Sicherheit als roten Faden in die traditionellen Entwicklungs- und Operationsprozesse einschiessen. Das Bug-Bounty-Programm ist dabei nur eines von mehreren Elementen. Dazu gehört auch die Entwicklung eines Abraxas-spezifischen Maturitätsmodells. Es ist unsere Richtschnur bei der Entwicklung neuer Software.
Es war doch auch Anlass zur Gründung der Gruppe?
Genau. Wir haben damit auf die Kundenbedürfnisse reagiert. Das Thema ist entsprechend der Bedrohungslage in den letzten Jahren immer höher priorisiert worden. Der Staat ist hier besonders betroffen, da die Cyberkriminalität wichtige Strukturen unserer Gemeinschaft angreift. Das hat uns zur Gründung der SSG bewogen. Nur so haben wir neue Prinzipien der Softwareentwicklung breit abstützen können. Schon alleine das Thema der Transparenz. Früher haben Entwickler Schwachstellen lieber versteckt, in der Hoffnung, dass sie nie ein Hacker findet. Heute muss man davon ausgehen, dass er sie findet und darum rasch handeln.
Warum ist diese Transparenz sinnvoll?
Sie ist in der aktuellen Bedrohungslage zwingend. Die Vorstellung eines hochspezialisierten Hackers, Mitglied einer dunklen Gilde mit Geheimwissen, ist heute völlig falsch. Hacking ist ein Geschäftsmodell wie jedes andere auch – nur basiert es auf krimineller Energie und Strukturen. Das bedeutet in der Praxis, dass jeder einen Angriff starten kann. Fachwissen braucht es nicht zwingend, denn die nötigen Tools gibt es als vorkonfigurierten IT-Service. Mit wenigen hundert Dollar Investition lässt sich bereits eine globale Ransomware-Kampagne fahren.
Warum sollte man es ihnen noch leichter machen, indem man sogar den Quellcode einer Software offenbart?
Weil man dem Geschäftsmodell der Cyberkriminellen ein legales Modell für ethische Hacker entgegensetzt, die uns mit ihrer Denkweise als Security Researcher helfen, Schwachstellen zu identifizieren, die wir anschliessend intern beheben können. Das heisst nun aber auch, dass Sicherheit und Sicherheitsbewusstsein zentrale Anforderungen im gesamten Unternehmen sein müssen, von jedem Keyboard in jeder Abteilung aus, bis hin zu uns, den Spezialistinnen und Spezialisten in der Softwareentwicklung. Kurz: Sicherheit ist heute so hoch positioniert wie noch nie. Und Fehler in Software, das wird es immer geben und lässt sich nicht vermeiden. Entscheidend ist, dass wir die Lücke entdecken, bevor man sie ausnutzt.
Wie geht die SSG konkret vor?
Sie besteht aus mehreren Exponenten von Abraxas und steht derzeit unter dem Vorsitz von Security-Experte Darius Bohni von 442 Security – wir arbeiten oft mit ihm und anderen Experten aus der Forschung zusammen. Wir treffen uns regelmässig, im Normalfall alle 14 Tage für einen halbtägigen Austausch. Wir organisieren Trainings, besprechen aktuelle Cybersecurity-Herausforderungen, bilden Security Champions aus und weiter, triagieren die Findings aus dem Abraxas Bug-Bounty-Programm und stehen allen Abteilungen und Teams beratend in Sachen Sicherheit bei – auch Netzwerkoptimierungen haben wir schon konzipiert und umgesetzt.
Das geht aber doch deutlich über die Softwareentwicklung hinaus!
Ja. Aus gutem Grund: Security kann nie losgelöst von Infrastrukturen und Prozessen betrachtet werden – und schon gar nicht losgelöst von der Arbeitswirklichkeit der Mitarbeitenden. Darum war es uns wichtig, die SSG interdisziplinär zu gestalten, die Anwendersicht zu berücksichtigen und auch ein GL-Mitglied in seiner Sponsoring-Funktion mit an Bord zu haben.
Definiert das die weitere Entwicklung der SSG?
Ja. Wir möchten einerseits die Bug-Bounty-Programme begleiten und unseren Entwickler:innen ein verlässlicher Partner sein, andererseits die gesamte Organisation inspirieren, die Kultur der Sicherheit weiter verbessern. Sie ist bereits fortgeschritten, jedoch werden die Methoden der Cyberkriminalität raffinierter. Wir müssen Schritt halten. Sicherheit ist demnach ein steter Optimierungsprozess an der Schnittstelle zwischen Mensch, Software und IT-Infrastruktur. Dieses Denken lebt die SSG vor.
