{"id":821,"date":"2014-04-19T14:48:14","date_gmt":"2014-04-19T12:48:14","guid":{"rendered":"http:\/\/sseblog.ec-spride.de\/?p=821"},"modified":"2014-04-19T14:48:14","modified_gmt":"2014-04-19T12:48:14","slug":"eberbach-sse","status":"publish","type":"post","link":"https:\/\/blogs.uni-paderborn.de\/sse\/2014\/04\/19\/eberbach-sse\/","title":{"rendered":"Sieben Punkte f\u00fcr mehr Softwaresicherheit"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_821 social_share_privacy clearfix 1.6.4 locale-en_US sprite-en_US\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_821')){$('.twoclick_social_bookmarks_post_821').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blogs.uni-paderborn.de\\\/sse\\\/2014\\\/04\\\/19\\\/eberbach-sse\\\/\",\"post_id\":821,\"post_title_referrer_track\":\"Sieben+Punkte+f%C3%BCr+mehr+Softwaresicherheit\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><a href=\"https:\/\/www.sit.fraunhofer.de\/fileadmin\/dokumente\/studien_und_technical_reports\/EberbacherBroschuere_web.pdf\"><img loading=\"lazy\" decoding=\"async\" class=\"alignright\" alt=\"\" src=\"https:\/\/www.sit.fraunhofer.de\/typo3temp\/pics\/ebe5f22f3e.jpg\" width=\"158\" height=\"223\" \/><\/a>Die aktuelle Heartbleed-Schwachstelle zeigt, wie wichtig es ist, die Sicherheit von Software zu verbessern. Konkrete Handlungsempfehlungen dazu diskutierten IT-Experten im Eberbacher Gespr\u00e4ch zu Software Security. Neben der Entwicklung besserer Testwerkzeuge fordern die Teilnehmer, die Sicherheit von Software bei \u00f6ffentlichen Ausschreibungen st\u00e4rker zu ber\u00fccksichtigen sowie eine Diskussion der Haftungsfragen. Das Fraunhofer-Institut f\u00fcr Sichere Informationstechnologie SIT hat die Ergebnisse jetzt in einem Bericht ver\u00f6ffentlicht, der die wichtigsten Herausforderungen und passende L\u00f6sungsans\u00e4tze beschreibt.\u00a0<a href=\"https:\/\/www.sit.fraunhofer.de\/de\/eberbach-secure-software\/\">Hier<\/a>\u00a0l\u00e4sst sich das Positionspapier kostenlos herunterladen.<\/p>\n<p>Software ist heute so komplex, dass Menschen selbst schwerwiegende Fehler trotz intensiver Pr\u00fcfung nicht erkennen k\u00f6nnen. So bemerkte auch der Pr\u00fcfer im Heartbleed-Fall den Fehler nicht. Dabei handelte es sich um Open-Source-Software, deren Programmcode sogar \u00f6ffentlich einsehbar und nachpr\u00fcfbar ist. Wie bei vielen Open-Source-Projekten nutzten Unternehmen den kostenlosen Code und sorgten so unabsichtlich f\u00fcr eine Verbreitung des Fehlers. \u201eDas Beispiel zeigt, wie wichtig es ist, die Sicherheitsqualit\u00e4t von Programmcode vor dem Einsatz besser zu pr\u00fcfen, und wie gef\u00e4hrlich die Nutzung von fremdem Code ist\u201c, sagt Prof. Michael Waidner, Leiter des Fraunhofer SIT und Direktor des European Center for Security and Privacy by Design (EC SPRIDE). \u201eAuch wenn noch nicht klar ist, welche Sch\u00e4den durch die Schwachstelle entstanden sind, zeigt das Beispiel doch erneut, dass es wesentlich teurer ist, Softwarefehler nachtr\u00e4glich zu beheben, als sie in der Entwicklungsphase zu beseitigen.\u201c<\/p>\n<p>Um die Entwicklung sicherer Software zu f\u00f6rdern, erarbeiteten die Teilnehmer des Eberbacher Gespr\u00e4chs sieben konkrete Empfehlungen: Dazu z\u00e4hlt neben der Beantwortung der Haftungsfrage die Entwicklung von flexiblen Sicherheitsprozessen, die sich auch f\u00fcr kleine und mittlere Softwarehersteller eignen. Neben einer verbesserten Ausbildung von Programmierern sollten auch die Vergaberichtlinien f\u00fcr Beh\u00f6rden so ge\u00e4ndert werden, dass Mindestanforderungen hinsichtlich der IT-Sicherheit erf\u00fcllt werden. Um Unternehmen Anreize zu geben, die Sicherheit eingesetzter Software zu erh\u00f6hen, m\u00fcssen Manager die Kostenvorteile von sicherer Software berechnen k\u00f6nnen, etwa mit Hilfe von neuen quantitativen Modellen. Dar\u00fcber hinaus braucht es nach Meinung der Teilnehmer auch neue Zertifizierungsmethoden, die dem rasanten Tempo der Softwareentwicklung entsprechen, sowie neue Tools zur Schwachstellen-Aanalyse. \u201eGerade im Bereich der automatisierten Testwerkzeuge ist die deutsche Forschung besonders stark\u201c, sagt Michael Waidner. \u201eNeue Methoden erlauben es zum Beispiel, Fehler im Programmcode schneller und besser zu finden. Diese Ans\u00e4tze gilt es jetzt, in Produkte zu verwandeln.\u201c Auf lange Sicht k\u00f6nnte sich auch eine Haftungskl\u00e4rung positiv auf IT-Sicherheit und Datenschutz auswirken. (Oliver K\u00fcch, Fraunhofer SIT)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die aktuelle Heartbleed-Schwachstelle zeigt, wie wichtig es ist, die Sicherheit von Software zu verbessern. Konkrete Handlungsempfehlungen dazu diskutierten IT-Experten im Eberbacher Gespr\u00e4ch zu Software Security. Neben der Entwicklung besserer Testwerkzeuge fordern die Teilnehmer, die Sicherheit von Software bei \u00f6ffentlichen Ausschreibungen &hellip; <a href=\"https:\/\/blogs.uni-paderborn.de\/sse\/2014\/04\/19\/eberbach-sse\/\">Continue reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":6542,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-821","post","type-post","status-publish","format-standard","hentry","category-general"],"_links":{"self":[{"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/posts\/821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/users\/6542"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/comments?post=821"}],"version-history":[{"count":0,"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/posts\/821\/revisions"}],"wp:attachment":[{"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/media?parent=821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/categories?post=821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uni-paderborn.de\/sse\/wp-json\/wp\/v2\/tags?post=821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}