Ein neuer Weg in der Softwareentwicklung

Ransomware-Gangs folgen einem Geschäftsmodell. Darum kann es jeden treffen, dessen Systeme mit wenig Aufwand zu knacken sind – und wenn man dabei interessante Daten stehlen oder sich im Netzwerk so bewegen kann, dass man mit einem Angriff gleich mehrere Unternehmen attackiert, umso besser.

Die digitale Kriminalität macht eine zynische Kostenrechnung und greift längst auf vorkonfektionierte Tools zu. Sogar Ransomware-as-a-Service gibt es. Damit kann jeder einen Service buchen, Angriffe einleiten und sich das Lösegeld mit dem RaaS-Anbieter teilen. Auch Gemeinden und andere Institutionen der öffentlichen Hand sind von dieser dunklen Wirtschaft betroffen.

Das Nationale Zentrum für Cybersicherheit (NCSC) zählte 2021 mit 21 000 Meldungen doppelt so viele Vorfälle wie im Jahr davor. Gemeinden sind laut verschiedener Statistiken nebst der Healthcare- und Finanzbranche beliebte Angriffsziele. Hier erscheint der Aufwand oft gering, die Daten sind interessant genug für eine doppelte Erpressung. Dabei wird mit Veröffentlichung und Verkauf der Daten gedroht, damit die Zahlungsbereitschaft steigt.

Alles ist Software

Treten wir einen Schritt zurück. Das grosse Bild: Wir leben in einer softwaredefinierten Welt. Software ist überall, Software legt neue virtuelle Schichten über unser Leben – ja, auch das Metaverse ist Software. Im Kern ist Software die Basis für die Ablösung von Services von bestimmten physischen Geräten.

Wir leben aber auch in einer zunehmend von Cybersecurity bestimmten Welt der Digitalisierung, denn Software ist potenziell auch unsicher. Sie wird immer von Menschen erstellt, von Menschen getestet und von Menschen sinnvoll eingesetzt. Oder im Falle der digitalen Kriminalität auch missbraucht.

Darum braucht es ein Gleichgewicht des Testens: Software wird weiter entwickelt oder Updates werden gemacht, Software sollte sich daher immer wieder bewähren müssen, Angriffen standhalten, die von Menschen ausgeführt werden, die denken wie ein Hacker, handeln wie einer und dennoch keine sind. Mit einem frischen Blick und aktuellen Methoden ein gesichertes System zu betreten versuchen: So passt sich das Sicherheitsniveau des Systems der dunklen Dynamik im Cyberraum an.

Ein erfolgreicher Angriff auf das neue Ergebnisermittlungssystem für die Kantone St.Gallen und Thurgau wäre fatal, würden damit doch Kernwerte unserer Demokratie angegriffen, das Vertrauen in die Ermittlung der Wahl- und Abstimmungsresultate erschüttert. Stimmen die Zahlen, wird korrekt gerechnet? Eine Manipulation von aussen könnte schlimmste politische Folgen haben.

Umfassende Sicherheit bei jedem Schritt

Das Abraxas Security Framework will genau das verhindern. Es besteht aus internen Sicherheitsprüfungen in jeder Entwicklungsphase mit internen und externen Spezialisten. Ist der Code robust genug, folgt eine längere Phase der externen Sicherheitsüberprüfungen. Erst mit handverlesenen Spezialisten, dann in einem öffentlichen Test, an dem sich jeder beteiligen kann. Wer eine Schwachstelle findet und sie als Erster dokumentiert, erhält eine Belohnung – im Jargon ein Bounty. Für dieses Abraxas Bug Bounty Programm arbeiten wir mit der erfahrenen Bug Bounty Switzerland zusammen. Gleichzeitig haben wir uns für die Offenlegung des Quellcodes entschieden, um den Sicherheitsexperten eine einfache Verifizierung und bessere Dokumentation der Bugs zu ermöglichen. Die Sicherheit wird damit nebenbei weiter erhöht.

Umfassende Sicherheit heisst auch: Die Entwickler von Abraxas begrüssen jedes Finding, so nennt man eine dokumentierte Schwachstelle. Mit der sicheren Entwicklung und dem Abraxas Security Framework ist nämlich auch neues Fehlerbewusstsein entstanden. Fehler sind da. Das müssen wir akzeptieren. Fatal sind diejenigen, die man nicht entdeckt. Möglichst wenig relevante Fehler im Quellcode und der Konfiguration sind die eine Seite der Medaille, die andere sind sicher gestaltete Architekturen rund um die Software und die Verarbeitung der Daten. Wie sicher, das zeigt sich erst bei einem konkreten Angriffsversuch. Solche wird es wohl immer geben, solange die digitale Kriminalität existiert.

Sicherheit und Entwicklung Hand in Hand – das Prinzip verfolgen moderne Softwareentwickler über den ganzen Lebenszeitraum ihrer Innovation. Robuste Software, die aktuellen Angriffsmethoden stand hält, das ist ein Dauerauftrag und Teil eines modernen Prozesses.

Abraxas Bug Bounty program: a new way in software development

Abraxas, in cooperation with Bug Bounty Switzerland, discloses the code of the new result determination system for the cantons of St.Gallen and Thurgau. At the same time, selected security researchers are given access to a pre-release version of the software and can examine it extensively for vulnerabilities.

A successful attack on the new result determination system for the cantons of St.Gallen and Thurgau would be fatal, as it would attack the core values of our democracy and reduce confidence in the determination of the election and voting results. Are the numbers correct, is the calculation correct? Manipulation from the outside could have the worst political consequences.

The Abraxas Security Framework aims to prevent exactly that. It consists of internal security checks in every development phase with internal and external specialists. If the code is robust enough, a longer phase of external security checks follows. First with hand-picked specialists, then in a public test, in which anyone can participate. Anyone who finds a vulnerability and documents it receives a reward - a bounty in the jargon. For this Abraxas Bug Bounty program, we are working with the experienced Bug Bounty Switzerland. At the same time, we decided to disclose the source code to allow security experts to easily verify and better document the bugs. Security is thus further enhanced along the way.

Comprehensive security also means that Abraxas developers welcome every finding, which is the name given to a documented vulnerability. With the secure development and the Abraxas Security Framework, a new awareness of errors has emerged. Errors are there. We have to accept that. Fatal are those that are not discovered.