Agile Sicherheitsmassnahmen für agile Geschäftsmodelle
Am diesjährigen Agile Leadership Day sprachen Christina Kistler, CCO und Rolf Wagner, COO von GObugfree AG über die zunehmende Bedrohung von Cyberkriminalität und wie agile Sicherheitsansätze wie Shift Left, Continuous Testing mit Bug Bounty und Zero Trust Architecture Firmen einen proaktiven, gesamtheitlichen und systemischen Schutz bieten können.
Täglich lesen wir von Cyberangriffen. Die Digitalisierung ermöglicht innovative Geschäftsmodelle und agile Entwicklungsmethoden erleichtern die kontinuierliche Freigabe neuer Funktionalitäten. Diese Dynamik führt jedoch zunehmend zu Schwachstellen, die sich Cyberkriminelle zunutze machen - und wofür konventionelle Sicherheitsmassnahmen offenbar an ihre Grenzen stossen. Anhand konkreter Use Cases und Sicherheitsmassnahmen zeigten Kistler und Wanger am Agile Leadership Day 2022 auf, wie agile Geschäftsmodelle abgesichert werden können.
Cyberkriminalität ist eine zunehmende Bedrohung
Weltweit ist Cyberkriminalität die am schnellsten wachsende Form der Kriminalität. Cyberangriffe haben an Zahl, Raffinesse und Auswirkungen zugenommen: 2021 beliefen sich die globalen Kosten der Cyberkriminalität auf über 6 Trillionen Dollar. Klein- und Mittelgrosse Unternehmen (KMUs) verfügen oft nicht über die nötige Ressourcen und Budget, um sich adäquat gegen Cyberangriffe zu schützen. Gemäss einer Studie der ZHAW (Pugnetti-Casian-Cyber Risiken und Schweizer KMU, 2021) waren ein Drittel der Schweizer KMU bereits Opfer von Cyberangriffen.
IT-Sicherheit: Bremsklotz oder Enabler?
Viele Personen betrachten die IT-Sicherheit, ähnlich wie Compliance oder rechtliche Aspekte, oft als Bremsklotz. Damit sie zu einem Enabler werden kann, muss die Sicherheit vorausschauend sein und Cybersicherheits-Fähigkeiten müssen proaktiv aufgebaut werden. So wie andere Bereiche des Unternehmens sich im Zuge der Agilität angepasst haben, um eine schnellere Markteinführung und höhere Qualität zu ermöglichen, muss es die IT-Sicherheit auch tun. Richtig gemacht, unterstützen agile Sicherheitsmassnahmen eine Organisation, ihre Richtung und Position schnell und kontrolliert zu ändern.
Drei Beispiele von agilen Sicherheitsmassnahmen: Shift Left, Continuous Testing und Zero Trust Architecture
Wie auch bei der Agilität allgemein, ist bei der IT-Sicherheit die Grundhaltung das Wichtigste. Im europäischen und im neuen Schweizer Datenschutzgesetz werden implizit «Security by Design» und «Security by Default» gefordert. Der Schutz muss proaktiv, ganzheitlich und systematisch sein.
Shift Left
Beim Prinzip von Shift Left geht es darum, eine Aufgabe, die traditionell in einer späteren Phase des Prozesses erledigt wird, in einer früheren Phase auszuführen. Dadurch können Fehler früher entdeckt und kostengünstiger korrigiert werden.
Der Shift Left Ansatz spart einem selbst und dem Kunden sehr viel Aufwand bei der Suche und der Behebung von Schwachstellen. Qualität / Sicherheit-Awareness zahlt sich aus und darum wird entsprechend auch viel in die Schulung und Security Awareness der Mitarbeitenden investiert. Das zahlt sich schlussendlich aus.
Continuous Security Testing, Bug Bounty
Wer agil entwickelt und ständig neue Funktionen herausbringt, soll dies auch ständig testen. Automatisiertes Pentesting oder Vulnerability Scanning sowie Bug Bounty Programme bieten hier Schutz. Ein Bug Bounty Programm ist eine kosteneffiziente Methode, um Schwachstellen zu identifizieren. Unter diesem Ansatz suchen Friendly Hacker nach Sicherheitslücken im System. Sie rapportieren ihre Erkenntnisse und werden mit einem Geldbetrag (Bounty) belohnt.
Zero Trust Architecture: “Never trust, always verify”
Anstelle sich auf die statische Verteidigung von Netzwerkperimetern zu fokussieren, ist beim Zero Trust Sicherheitsmodell der Fokus auf den kontextsensitiven und adaptiven Schutz der Unternehmensressourcen. Per se ist ja nicht ein Perimeter schützenswert, sondern eine Ressource, ein Workload genau dort wo diese ist. Zero Trust ermöglicht eine skalierbare Sicherheit, was die Nutzung von hoch standardisierten und automatisierten Cloud-Services erlaubt.
Der richtige Mix macht’s aus
Bug Bounty-Programme sind eine kosteneffiziente Möglichkeit für kontinuierliche outside-of-the-box Sicherheitstests. Sie sollten jedoch nicht die einzige Massnahme sein. Software- und Sicherheitsprobleme können in verschiedenen Phasen des Produktlebenszyklus entdeckt werden. Bereits in den früheren Entwicklungsphasen können Massnahmen wie Schulungen zum Sicherheitsbewusstsein und die enge Einbindung von IT-Sicherheitsexperten in den Entwurf neuer Anwendungen ergriffen werden. Code-Reviews, Sicherheitsaudits und Pentesting gehören ebenfalls dazu. Letzten Endes geht es darum, so viel wie möglich zu tun, um sich zu schützen. In den Worten von Kevin Mitnick, IT-Sicherheitsberater, Autor und vorbestrafter Hacker: „You can never protect yourself 100%. What you do is protect yourself as much as possible.”