Unternehmen und Verbraucher*innen können mit ihrem Verhalten viel bewirken, um sich vor Cyberangriffen zu schützen. In den bisherigen Folgen unserer Serie „1×1 der IT-Sicherheit“ haben wir dazu bereits viele nützliche Tipps aufbereitet und euch aktuelle Sicherheitslösungen vorgestellt. Doch IT-Sicherheit fängt für uns nicht erst mit der allgemeinen Verfügbarkeit unserer Software und Services an. Wir arbeiten schon in der Entwicklung nach dem Prinzip „Security by Design“. Was es damit auf sich hat, verraten wir euch in dieser Ausgabe unserer Serie.
Am 15. Januar 2002 versendete unser damaliger CEO Bill Gates eine E-Mail an alle Microsoft-Mitarbeiter*innen, die unseren Fokus auf die Sicherheit unserer Software und Services bis heute geprägt hat. Sie war der Startschuss für unsere „Trustworthy Computing“-Initiative.
Diese Initiative und das Thema IT-Sicherheit allgemein ist heute relevanter als je zuvor: 2002 kamen die Computer gerade erst in die Wohnzimmer, heute organisieren wir unser Leben und unsere Arbeit mit Software. Genau das ruft Cyberkriminelle auf den Plan: Sie versuchen mit immer ausgeklügelteren Methoden jede noch so kleine Sicherheitslücke in den Programmen und Apps zu finden, die wir nutzen. Wie ausgefeilt heutige Attacken sein können und wie aufwändig gleichzeitig die Jagd nach diesen ist, beschreiben unseren Kolleg*innen aus dem Microsoft Defender ATP-Team auch in ihrem Blog „Seeing the big picture: Deep learning-based fusion of behavior signals for threat detection“ (Englisch) sehr ausführlich.
Das Ziel: Sicherheit in allen Phasen der Softwareentwicklung mitdenken
Aus dem Auftakt 2002 hat sich unser Microsoft Security Development Lifecycle (SDL) entwickelt. Ein ganzheitliches Programm, mit dem Ziel, Best Practices zu definieren, wie Sicherheit in allen Phasen der Softwareentwicklung mitgedacht wird. Security by Design – und nicht erst durch Updates. Auch das potenzielle Verhalten von Nutzer*innen versuchen wir bereits während der Entwicklung zu antizipieren, um das Risiko für Angriffe zu minimieren. Eines der simpelsten Beispiele dafür: Programme, die bestimmte Regeln für Passwörter haben, damit der hochriskante, aber dennoch beliebte Code „12345“ von vornherein ausgeschlossen wird.
Die zwölf Guidelines unserer SDL umfassen unter anderem die Aus- und Weiterbildung von Entwickler*innen, die fortlaufende Definition von Sicherheitsanforderungen im Softwareentwicklungsprozess oder auch die Festlegung von Tools, die bei der Entwicklung verwendet werden dürfen. Der Grundgedanke ist, dass jede*r zur Sicherheit eines Produkts im Laufe der Entwicklung beitragen kann, wenn klare Richtlinien formuliert sind. So werden viele Risiken schon vor der Veröffentlichung minimiert und Einfallstore geschlossen, bevor sie überhaupt jemand entdecken kann.
Zero Trust – Gefahren lauern überall
So wie wir unseren Sicherheitsfokus mit klaren Leitlinien im gesamten Entwicklungszyklus verankert haben, haben wir auch eine Haltung entwickelt, mit der wir unsere Software und Services sicherer machen: Zero Trust. Denn die digitale Welt hat sich seit 2002 massiv verändert.
Früher waren Netzwerke abgeschirmt von der Außenwelt, Computer stationär. Heute trägt jede*r von uns einen leistungsstarken Computer in der Hosentasche mit sich. Durch die Remote-Arbeit in Folge der COVID-19-Pandemie arbeiten Millionen von Menschen mit verschiedenen mobilen Endgeräten an unterschiedlichsten Orten. Es ist nicht unwahrscheinlich, dass diese „neue Normalität“ in Zukunft bleiben wird. Darauf haben sich auch Cyberkriminelle eingestellt: Darum reicht es nicht mehr, eine Mauer um Netzwerke zu ziehen und davon auszugehen, dass jede*r darin auch eine Berechtigung dazu hat, wie mein Kollege Cyril so schön geschrieben hat.
Diese gesunde Portion Misstrauen in Kombination mit technologischen Innovationen hilft uns dabei, Sicherheit in der Produktentwicklung mitzudenken und weiterzuentwickeln, noch bevor die erste Zeile Code geschrieben ist. Es ist nicht immer leicht, Cyberkriminellen einen Schritt voraus zu sein. Deswegen ist es umso wichtiger, schon loszulaufen, bevor sie überhaupt gemerkt haben, dass es ein Rennen ist.
Weitere Beiträge der Serie:
-
- #Folge 1: Das 1×1 der IT-Sicherheit: Das pA$$w0rT-Problem
- #Folge 2: Das 1×1 der IT-Sicherheit: Warum Sicherheitsupdates so wichtig sind
- #Folge 3: Das 1×1 der IT-Sicherheit: Im Compliance-Dschungel
- #Folge 4: Das 1×1 der IT-Sicherheit: Warum der Schutz von Endpunkten jetzt besonders wichtig ist
- #Folge 5: Das 1×1 der IT-Sicherheit: Threat Management oder warum wir IT-Sicherheit ganzheitlich denken müssen
- #Folge 6: Das 1×1 der IT-Sicherheit: Phishing in Zeiten der Corona-Pandemie
- #Folge 7: Das 1×1 der IT-Sicherheit: Künstliche Intelligenz als Teil moderner Security-Werkzeuge
- #Folge 8: Das 1×1 der IT-Sicherheit: Wer in einem Unternehmen für die Cybersicherheit verantwortlich ist – und wie das gelingt
Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos