Ruck ohne Hau – Corona-Warn-App kein Security-Albtraum

Veröffentlicht Veröffentlicht in Corona, Security Engineering

Es geht diese Tage ein Ruck durch das Neuland – und zwar kein Hau-Ruck, den viele gleichwohl befürchtet hatten, als sich abzuzeichnen drohte, dass auch die deutsche Corona-Warn-App bei Datenschützenden und anderen IT-Justice Warriors von Anfang an in Ungnade stehen würde. Nun staunt der Laie – und selbst der Chaos Computer Club und sein Umfeld wundern sich: Ist die Macht der Datenverbraucherschützer wirklich so groß geworden, dass Behörden sich wandeln und plötzlich agile Open Source produzieren (lassen)? Anscheinend haben das Schreiben offener Briefe und das Führen hitziger Diskussionen in den sozialen Medien diesmal zwei Großkonzerne und mehrere Behörden dazu gebracht, in entscheidenden (auch datenschutz- bzw. sicherheitskritischen) Fragen umzusteuern. Das sind wir nicht gewöhnt!

Gezeigt hat sich auf jeden Fall schon jetzt: Die frühzeitige und umfassende Einbindung, gerade auch kritischer Kunden- und Gesellschaftsgruppen hat der Verbreitung der App zumindest nicht geschadet. Ob dies auch massenhafte Nutzung garantiert, steht auf einem anderen Blatt. Aber in einer idealen Welt wird auch dieser Prozess wie alle anderen gesellschaftlich relevanten Veränderungen von einer informierten und kritisch-produktiven Öffentlichkeit begleitet und wenn notwendig in die richtige Richtung gestupst. Auch angesichts einiger anderer Meldungen in diesem Digest: Zu Tode gesiegt hat sich die digitale Bürgerrechtsbewegung noch lange nicht.

https://www.zdf.de/nachrichten/politik/corona-app-launch-100.html

SHIFT LEFT – Linksruck im Neuland?

Veröffentlicht Veröffentlicht in Security Engineering

Linksruck in der IT? Was soll das bedeuten? Gewerkschaften bei Amazon? Google-style Walkouts bei SAP? Mindestlohn für Consultants bei Accenture und Co.? Keineswegs! Der aktuell „trendende“ Kampfruf „Shift Left“ spielt an auf die Bewegung nach links im Entwicklungszyklus von Software oder anderen IT-Produkten, also im SDLC (Software Development Life Cycle). Es mag merkwürdig anmuten, in Bezug auf einen Kreis(lauf) von „links“ und „rechts“ zu sprechen. Gemeint ist eine Bewegung hin zu den Tätigkeiten, die in der Entwicklung früh vorgenommen werden sollten.

Ein Penetrationstest setzt spät – „rechts“ – an und zieht dementsprechend große Aufwände nach sich, wenn grundsätzliche Dinge zu reparieren sind. Früher – „weiter links“ – wirkt sichere Softwareentwicklung. Und idealerweise wird die Security bereits „ganz links“, also in der Definition von Sicherheitsanforderungen, berücksichtigt.

Die Idee ist alles andere als neu. Doch scheint sie sich momentan aus ihrem Schattendasein als Elefant im Raum langsam in Richtung rosa Kaninchen auf der Tanzfläche zu bewegen. Immer mehr Organisationen umarmen das Konzept des „Linksrucks“ und greifen dafür in nicht unerheblichem Maße in althergebrachte Arbeitsweisen und Rollenverständnisse ein.

Der Hauptgrund dürfte – wie so oft bei der Umwälzung gesellschaftlicher oder technischer Verhältnisse – in der Veränderung der Produktionsbedingungen selbst liegen. Im Wasserfallmodell konnte man ans Ende der eh um 80 % überzogenen Entwicklungszeit und -budgets auch noch einen Penetrationstest „dranklatschen“, dessen Empfehlungen dann im Zweifel nicht umgesetzt wurden. In agilen Sprints mit DevOps-Prozessen und Hunderten von Microservices in Tausenden von Containern, die von Dutzenden Teams entwickelt und verantwortet werden, ist dies nicht mehr möglich. Wohl oder übel muss die Security ebenfalls agiler und mithin deutlich schneller werden – und das geht nur, indem sie früh im Entwicklungsmodell beginnt. Google etwa tanzt das aktuell mit dem Konzept BeyondProd (siehe Lesetipps) eindrucksvoll vor.

Bitte nicht falsch verstehen: Der klassische Penetrationstest hat weiterhin seine Daseinsberechtigung und ist in vielen Situationen (Legacy, Brownfield, Compliance …) das geeignete Mittel, um Schwachstellen zu identifizieren. Er muss allerdings zukünftig zu einem ganzheitlichen SDL (Security Development Lifecycle) ergänzt werden.

https://www.heise.de/developer/artikel/Shift-Left-Secure-by-Design-und-agile-Entwicklung-4613935.html