Zu wenig sichere Prozesse und Verfahren im Softwarelebenszyklus
Als Ergebnis einer Umfrage zur "Sicherheit im Application Lifecycle Management" stehen erhebliche Risiken für Unternehmen durch die mangelnde Berücksichtigung sicherer Prozesse und Vorgehensweisen.
- Alexander Neumann
Die mangelnde Berücksichtigung sicherer Prozesse und Vorgehensweisen im gesamten Softwarelebenszyklus erzeugt erhebliche Risiken für Unternehmen, Behörden und Privatpersonen. So fällt das Fazit der durch die Analysten von Creative Intellect Consulting durchgeführten Umfrage zur "Sicherheit im Application Lifecycle Management" aus. Die weltweit durchgeführte Befragung erfolgte in Zusammenarbeit mit (ISC)2, einer Organisation zur Ausbildung und Zertifizierung von IT-Sicherheitsfachkräften, unter rund 170 Experten für Softwareentwicklung, IT- und Informationssicherheit.
Trotz der Prüfung von Entwicklungs- und Bereitstellungsprozessen bei den meisten Befragten würden knapp 60 Prozent die Verfahren zur Gewährleistung von Sicherheit und Qualität bei Software nicht "konsequent" durchführen, heißt es als weiteres Ergebnis. 26 Prozent wenden nur teilweise oder überhaupt keine sicheren Softwareentwicklungsprozesse an. Nur knapp die Hälfte gab offenbar an, Prüfungsverfahren konsequent zu befolgen, Änderungsmanagement-Prozesse werden allerdings von fast allen Befragten eingehalten.
Mehr als die Hälfte bestätigten, dass nach Investitionen in Tools und Prozesse für die Qualitätssicherung am meisten zur Steigerung der Sicherheit im gesamten Softwareentwicklungszyklus beigetragen würde. Dennoch machten circa 5 Prozent die Qualitätssicherung dafür verantwortlich, dass Bugs und Probleme nicht erkannt würden. Auf die Frage, was eine Verbesserung der Sicherheit für den gesamten Softwarelebenszyklus hemme, führten fast zwei Drittel die mangelnde Unterstützung seitens der Unternehmensführung und unzureichende Investitionen als Hauptgründe an. Ähnlich viele gaben an, es fehle an der richtigen Unternehmenskultur, Einstellung und Mentalität, und empfanden das Fehlen angemessener Prozesse als größtes Hindernis.
Zwei Drittel der Befragten sind der Ansicht, dass die Einhaltung von gesetzlichen Vorschriften und Verordnungen der wichtigste Faktor für die Berücksichtigung der Sicherheit im Softwareentwicklungszyklus sei, gefolgt von einer Unternehmenssicherheits- und Risikomanagementstrategie und strikteren Kundenanforderungen.
Die "Global Information Security Workforce Study 2011", die (ISC)2 im Februar veröffentlicht hatte, war ebenfalls zu dem Ergebnis gekommen, dass mangelnde Softwaresicherheit mit die größte Bedrohung für die IT-Sicherheit darstelle. (ane)
