Shift Left Security – ein Trend, der anhalten wird

Sicherheitsbemühungen konzentrieren Organisationen häufig auf das Ende eines Entwicklungs- und Release-Zyklus („Shift Right“). Dadurch kann zwar sichergestellt werden, dass der Rest der Software ein gewisses Maß an Stabilität erreicht, doch bleiben dabei hohe Risiken und auch Schwachstellen bestehen.

Die Lösung für dieses Problem und der wichtigste Eckpfeiler einer sicheren App ist Shift Left Security. Sicherheit sollte so früh wie möglich in den Software-Entwicklungszyklus implementiert werden (daher Shift Left = „nach links verlagern“ genannt). Dies vermeidet ungeplante Kosten und erspart unnötigen Ärger nach Veröffentlichung der App.

Shift Right: App-Sicherheit am Ende der Entwicklung ist keine Option mehr

Die Entwicklung einer mobilen App (oder Lösung) durchläuft immer dieselben Schritte: von der Konzeption über die Entwicklung und verschiedenen Tests bis hin zum Hochladen in den App Store. An Sicherheit wird dabei oftmals erst sehr spät gedacht. Bei der nachträglichen Implementierung fallen dann zusätzliche Entwicklungszeit und -kosten an. Um eine pünktliche Markteinführung zu garantieren, wird die Sicherheit in manchen Fällen einfach komplett außen vor gelassen.

Es gibt viele Beispiele, in denen der Sicherheitsfaktor erst in der letzten Projektphase eingeführt wurde. Dies kann enorme negative Auswirkungen auf ein Projekt haben, denn unmittelbar mit der Veröffentlichung der App werden auch die Risiken und Schwachstellen veröffentlicht. Diese bleiben nicht immer unerkannt, sondern werden von Sicherheitsforschern oder Hackern gefunden. Im besten Fall geben diese ihr Feedback an die Entwickler weiter – im schlimmsten Fall wird das Wissen missbraucht. Im letzteren Fall können Compliance-Verletzungen und Reputationsschäden sofort und ohne Vorwarnung eintreten.

Shift Left Security bietet Vorteile für die Wirtschaftlichkeit

Der Trend zu Shift Left Security wird wirtschaftlich gesehen durch die Betrachtung der Software-Entwicklungsprozesse und der anschließenden Wartungsphase gestärkt. Wie eine Studie belegt, ist die Problembehebung nach der Freigabe der mobilen App in etwa 20-mal teurer, als wenn das Problem bereits in der Definitionsphase des Projekts erkannt und gelöst wird.[1]

Oftmals unberücksichtigt, vergessen oder ausgeschlossen von diesen Kostenbetrachtungen sind die finanziellen Auswirkungen einer Sicherheitsverletzung: Folgeschäden, Kosten für Cyberangriffe (und Wiederherstellungskosten) sowie Prozesskosten. Betrachtet man auch diese Kosten, so zeigt eine weitere Studie, dass nicht durchdachte Software bis zu 2000-mal teurer sein kann, als von Anfang an in hochwertige Software zu investieren.[2] In diesem Beispiel tragen die Kosten von Cyberangriffen zu etwa 45 % aufgrund von Nachlässigkeiten im Software-Entwicklungsprozess zu den Gesamtkosten bei.
In der Summe bedeutet dies, dass sich Unternehmen und App-Entwickler auf gute Software und auf die Entwicklung guter Lösungen konzentrieren müssen, anstatt hinterher Betrug aufzudecken und Geld für Abhilfemaßnahmen auszugeben. Shift Left Security bedeutet: Je früher man Sicherheit einbezieht, desto weniger Kosten hat man hinterher.

In puncto Sicherheit auf Best Practices fokussieren

Shift Left Security ist eine Best Practice. In einem Softwareentwicklungs-Lebenszyklus (SDLC) sollte bereits in einem sehr frühen Stadium über Architektur und ein sicheres Design nachgedacht werden. Letzteres sollte eine Bedrohungsmodellierung beinhalten, die die Basis für das Sicherheitskonzept und die später implementierten, sogenannten Security Controls darstellt.

„Sicherheit kann nur erreicht werden, wenn sie von Anfang an eingeplant ist. Die Einführung von nachträglichen Sicherheitsmaßnahmen ist eher der Anfang einer Katastrophe“, sagt die CSA (Cloud Security Alliance) über sicheres Softwaredesign.[3]

Auch der CEO von Build38, Christian Schläger, sagte kürzlich in einem Interview mit PwC: „Anstatt also hinterher aufzuräumen und SOC-Ressourcen und viele Analystenstunden für die Forensik aufzuwenden, würde ich mir mehr hochwertige Software und Lösungen wünschen, die nicht mehr so leicht gehackt werden können.“

Kurz gesagt: Nachdem eine App veröffentlicht wurde, ist es einfach zu spät herauszufinden, was an der App das Sicherheitsproblem verursacht hat. Es wird unnötig Geld für die Reparatur, das erneute Testen und die erneute Veröffentlichung der Anwendung ausgegeben.

Shift Left Security – von Anfang an richtig machen

Das neue Paradigma und der beste Investitionsschutz ist Shift Left Security. Diese Vorgehensweise hilft dabei, während des gesamten Lebenszyklus einer mobilen Anwendung mit dem geplanten Budget zu haushalten. Außerdem unterstützt die Methode dabei, früh darüber nachzudenken, wie, wo und wann Sicherheit in einem App-Projekt eingebettet werden sollte.

Darüber hinaus ist Shift Left Security der entscheidende Schritt zur Einhaltung von Richtlinien: der eIDAS-Verordnung, der bevorstehenden Medical Device Regulation (MDR) im Jahr 2021, der DiGA-Verordnung, der PSD2 usw. Es geht also darum, Sicherheitsanforderungen gleich von Beginn an in die Tat umzusetzen.

Build38 gibt App-Entwicklern alle Mittel an die Hand, um jetzt mit Shift Left Security zu beginnen: „Wir liefern ein umfassendes Sicherheits-SDK für Android und iOS und eine Lösung, die sich sehr schnell integrieren lässt. Darüber hinaus unterstützen wir bei der Identifizierung der sicherheitsrelevanten Themen, geben Ratschläge, wie Sicherheitskontrollen richtig gestaltet werden können und was weiterhin zu beachten ist“, sagt Christian Schläger.

Klingt interessant? Dann kontaktieren Sie Build38 und werden Sie Teil der „Shift Left Security“-Bewegung!

 

[1] Capers Jones, A short history of the cost per defect metric, 2013

[2] Capers Jones, Achieving Software Excellence, v7, 2016

[3] „The Six Pillars of DevSecOps: Automation”, 2020