IBM stellt Sicherheits-Framework vor. F-Secure geht mit “Cloud Software Program” neue Wege. Der Schlüssel dazu ist die Berücksichtung der Sicherheits-Komponente bereits während der Entwicklung.
Neue Probleme erfordern neue Maßnahmen. Da IT Sicherheit durch die steigende Professionalisierung von Internetkriminellen zusehens zur Herausforderung für Software-Entwickler wird, sucht die Branche nach neuen Lösungswegen. Das große Problem der Softwareentwickler ist die Erspähung von Sicherheitsmängeln in gängigen Programmen durch Internetkriminelle. Solche Schwachstellen müssen zum Einen erst von den Herstellern oder Nutzern bemerkt, und danach mit relativ viel Aufwand behoben werden. Zwei neue Projekte wollen nun gegen diese grundsätzliche Problematik von Sicherheitslücken vorgehen. Das Stichwort für beide heißt: Früherkennung.
IBM plant sicheres Software-Design als Barriere gegen Internetkriminalität
Wie das heise online-Portal berichtet, hat IBM kürzlich auf der Entwickler-Messe “Innovate 2010″ seine neue Initiative “Secure by Design” vorgestellt. Es handelt sich dabei um eine Reihe von Maßnahmen zur Verbesserung der Netz-Sicherheit, die Produkte, Dienstleistungen und Forschungsprojekte zu dem Thema umfasst. Ein Kompendium von Sicherheitssoftware, das alle relevanten Bereiche wie Governance, Comliance oder Risk Management umfasst, könnte auch für zahlreiche Unternehmen interessante Lösungsstrategien beinhalten. Das “Secure-by-Design”- Projekt steckt zwar als Framework-Konzept noch in den Kinderschuhen, Big Blue arbeitet aber gegenwärtig schon intensiv an einer konkreten Anwender-Lösung. Die grundlegende Strategie lautet dabei, Sicherheitslücken in Software-Programmen möglichst schon im Frühstadium der Entwicklung zu erkennen. “Abwarten, bis eine Anwendungssoftware im Markt Fehler aufweist und diese dann patchen ist riskant und kann verdammt teuer werden” zitiert heise Marc van Zadelhoff, den IBM-Direktor für den Bereich Sicherheitslösungen. Mit einem neuen Sourcecode-Testprogramm soll es in Zukunft möglich sein, Sicherheitsschwachstellen in der Frühphase der Entwicklung aufzuspüren. Eine Art Leitfaden zur Programmerstellung wurde mit dem Secure Engineering Framework veröffentlicht, eine Anleitung zum sicheren Schreiben und Deployen von Software, die Internetkriminalität über Software-Angriffe merklich erschweren soll.
Der finnische Ansatz: nachhaltige Entwicklungsarchitektur
Auch in Finnland ist man sich der Bedrohung durch Internetkriminalität gewahr. Das Strategiecenter für Wissenschaft, Technologie und Innovation, bestehend aus etwa 20 Unternhemen und acht Forschungsinstituten reagiert mit der Initiative “Cloud Software Program” auf den sich vollziehenden Paradigmenwechsel im Unternehmens-Software Bereich in Richtung Cloud Computing. Unter maßgeblicher Mitarbeit des Sicherheitsspezialisten F-Secure setzt auch der finnische Ansatz auf Früherkennung, beziehungsweise eine nachhaltige Entwicklungsarchitektur. Der Projektverantwortliche von F-Secure Dr. Järvinen benennt die Säulen einer innovativen und sicheren Softwareentwicklung laut dem heise-online Portal folgendermaßen: “Effizienz in betrieblichen Abläufen, Benutzererfahrungen, Internet Software, offene Systeme, Abwägen von Sicherheitsrisiken und nachhaltiger Entwicklung. Die Cloud-Software verbindet all diese Faktoren, da besonders Applikationen verstärkt ins Internet abwandern und als Dienstleistung angeboten werden.” Der Kampf gegen Trojaner, Malware sowie Viren muss auch in der Cloud ausgefochten werden. Für den Businessbereich wird es dabei vor allem um schlanke Software-Modelle, offene Cloud-Strukturen und die sichere Funktionsfähigkeit von Endverbraucher-Systemen gehen. Eine Entwicklung in diese Richtung könnte das Cloud-Computing allmählich zur sicheren IT Lösung für Unternehmen und Internetkriminalität zu einem beschwerlicheren Unterfangen machen.
Mehr zum “Cloud Software Program” ist unter www.cloudsoftwareprogram.org zu finden.
sl.portal