Ein neuer Weg in der Softwareentwicklung

Abraxas legt in Zusammenarbeit mit Bug Bounty Switzerland den Code des neuen Ergebnisermittlungssystems für die Kantone St. Gallen und Thurgau offen. Gleichzeitig erhalten ausgewählte Security Researcher Zugang zu einer Vorabversion der Software und können diese ausgiebig nach Schwachstellen untersuchen.

Von Peter Gassmann, Leiter Solution Engineering · 25. Mai 2022

Ransomware-Gangs folgen einem Geschäftsmodell. Darum kann es jeden treffen, dessen Systeme mit wenig Aufwand zu knacken sind – und wenn man dabei interessante Daten stehlen oder sich im Netzwerk so bewegen kann, dass man mit einem Angriff gleich mehrere Unternehmen attackiert, umso besser.

Die digitale Kriminalität macht eine zynische Kostenrechnung und greift längst auf vorkonfektionierte Tools zu. Sogar Ransomware-as-a-Service gibt es. Damit kann jeder einen Service buchen, Angriffe einleiten und sich das Lösegeld mit dem RaaS-Anbieter teilen. Auch Gemeinden und andere Institutionen der öffentlichen Hand sind von dieser dunklen Wirtschaft betroffen.

Das Nationale Zentrum für Cybersicherheit (NCSC) zählte 2021 mit 21 000 Meldungen doppelt so viele Vorfälle wie im Jahr davor. Gemeinden sind laut verschiedener Statistiken nebst der Healthcare- und Finanzbranche beliebte Angriffsziele. Hier erscheint der Aufwand oft gering, die Daten sind interessant genug für eine doppelte Erpressung. Dabei wird mit Veröffentlichung und Verkauf der Daten gedroht, damit die Zahlungsbereitschaft steigt.

Alles ist Software

Treten wir einen Schritt zurück. Das grosse Bild: Wir leben in einer softwaredefinierten Welt. Software ist überall, Software legt neue virtuelle Schichten über unser Leben – ja, auch das Metaverse ist Software. Im Kern ist Software die Basis für die Ablösung von Services von bestimmten physischen Geräten.

Wir leben aber auch in einer zunehmend von Cybersecurity bestimmten Welt der Digitalisierung, denn Software ist potenziell auch unsicher. Sie wird immer von Menschen erstellt, von Menschen getestet und von Menschen sinnvoll eingesetzt. Oder im Falle der digitalen Kriminalität auch missbraucht.

Darum braucht es ein Gleichgewicht des Testens: Software wird weiter entwickelt oder Updates werden gemacht; Software sollte sich daher immer wieder bewähren müssen, Angriffen standhalten, die von Menschen ausgeführt werden, die denken wie ein böser Hacker, handeln wie einer und dennoch keine Kriminelle sind. Mit einem frischen Blick und aktuellen Methoden ein gesichertes System zu betreten versuchen: So passt sich das Sicherheitsniveau des Systems der dunklen Dynamik im Cyberraum an.

Ein erfolgreicher Angriff auf das neue Ergebnisermittlungssystem für die Kantone St. Gallen und Thurgau wäre fatal, würden damit doch Kernwerte unserer Demokratie angegriffen, das Vertrauen in die Ermittlung der Wahl- und Abstimmungsresultate erschüttert. Stimmen die Zahlen, wird korrekt gerechnet? Eine Manipulation von aussen könnte schlimmste politische Folgen haben.

Umfassende Sicherheit bei jedem Schritt

Das Abraxas Security Framework will genau das verhindern. Es besteht aus internen Sicherheitsprüfungen in jeder Entwicklungsphase mit internen und externen Spezialisten. Ist der Code robust genug, folgt eine längere Phase der externen Sicherheitsüberprüfungen. Erst mit handverlesenen Spezialisten, dann in einem öffentlichen Test, an dem sich jeder beteiligen kann. Wer eine Schwachstelle findet und sie als Erster dokumentiert, erhält eine Belohnung – im Jargon ein Bounty. Für dieses Abraxas Bug Bounty Programm arbeiten wir mit der erfahrenen Bug Bounty Switzerland zusammen. Gleichzeitig haben wir uns für die Offenlegung des Quellcodes entschieden, um den Sicherheitsexperten eine einfache Verifizierung und bessere Dokumentation der Bugs zu ermöglichen. Die Sicherheit wird damit weiter erhöht.

Das Abraxas Bug Bounty Programm

Das bereits intern intensiv geprüfte neue Ergebnisermittlungssystem wird ab dem 23. Mai 2022 ins private Abraxas Bug Bounty Programm geschickt. Dabei prüfen ausgewählte Security-Researcher den Code und suchen aktiv im zur Verfügung gestellten funktionskompletten Vorabsystem nach Schwachstellen, durch die sie hindurchschlüpfen, die Kontrolle übernehmen oder Daten stehlen oder manipulieren können. Selbstverständlich ist das Ergebnisermittlungssystem abgeschottet und enthält keine aktuellen Daten. Und die Angreifer sind konstruktiv gesinnt, dokumentieren und melden gefundene Fehler. «Wir freuen uns auf jedes Finding», sagt Chefentwickler Daniel Scherrer von Abraxas.

Umfassende Sicherheit heisst auch: Die Entwickler von Abraxas begrüssen jedes Finding, so nennt man eine dokumentierte Schwachstelle. Mit der sicheren Entwicklung und dem Abraxas Security Framework ist nämlich auch neues Fehlerbewusstsein entstanden. Fehler sind da. Das müssen wir akzeptieren. Fatal sind diejenigen, die man nicht entdeckt. Und fatal wäre es, mit entdeckten Schwachstellen falsch umzugehen.

Möglichst wenig sicherheitsrelevante Fehler im Quellcode und in der Konfiguration sind die eine Seite der Medaille, die andere sind sicher gestaltete Architekturen rund um die Software und die Verarbeitung der Daten. Wie sicher, das zeigt sich erst bei einem konkreten Angriffsversuch. Solche wird es wohl immer geben, solange die digitale Kriminalität existiert. Im kontrollierten Rahmen des Abraxas Bug Bounty Programms können wir aus ihnen lernen.

Sicherheit und Entwicklung Hand in Hand – das Prinzip verfolgen moderne Softwareentwickler über den ganzen Lebenszeitraum ihrer Innovation. Robuste Software, die aktuellen Angriffsmethoden standhält, das ist ein Dauerauftrag und Teil eines modernen Prozesses.

Peter Gassmann

Über Peter Gassmann

Peter Gassmann leitet bei Abraxas den Bereich Solution Engineering und ist Mitglied der Geschäftsleitung. Er trägt die Verantwortung für die Entwicklung innovativer und gleichzeitig sicheren Software für die öffentliche Hand.

Lesen Sie auch

0 / 0