Wie viele Ressourcen sollte man wann in die Sicherheit investieren?
Investitionen in die Sicherheit sollten genauso behandelt werden wie andere Investitionen, z.B. ins Marketing, Personal, Hard- oder Software. Wie in jedem dieser Fälle sollten die elementaren Fragen sein:
- Was können wir an Umsatz gewinnen, indem wir in die Sicherheit investieren?
- Was kann passieren, wenn wir dies nicht tun?
- Wie wahrscheinlich ist es, dass etwas Derartiges passiert?
Die Antwort darauf ist abhängig von einer Vielzahl von Faktoren, wie z.B. Branche, Firmengröße, Konkurrenz, Unternehmensziele etc. Obwohl dieser signifikanten Varianz zwischen Unternehmen haben sich einige grundlegende Ratschläge als allgemeingültig erwiesen:
- Alle durch einen Pentest gefundenen Lücken, die in einem einzigen Schritt zu einem Datenverlust führen können, müssen sofort adressiert werden.
- Alle Lücken mit einem hohen Score, d.h. größer als 7, müssen zeitnah in den Arbeitsvorgang eingearbeitet werden.
- Je nach Branche muss man auf Dauer 10% bis 20% der Entwicklungskapazität für Sicherheit einplanen.
Derartige allgemeine Regeln werden wir Ihnen normalerweise auf Ihre Situation angepasst in dem Abschlussgespräch vermitteln.
Allerdings liegt hier oft der Teufel im Detail: Was bedeutet “sofort”? Sollte man diesen Patch vorher noch ausführlich testen - was das Deployment eines Patches verzögern kann - oder darf man ungetestete Patches einspielen, frei nach dem Motto: “Besser eine funktionsunfähige Webseite, als eine Webseite, die Kundendaten verliert”? Diese Wahl zwischen zwei verschiedenen Risiken zieht sich wie ein roter Faden durch das gesamte Management von Security.
Grundlegende Dokumentation der Risikobehandlung
Hier bieten wir Ihnen unsere Beratungsdienste an: Ein Senior Consultant entwickelt mit Ihnen eine Liste derartiger grundlegender Fragen und beantwortet Sie gemeinsam mit Ihnen, sodass Sie daraus dann konkrete Prozesse und Handlungsanweisungen ableiten können. Vor allem aber entwickelt unser Consultant mit Ihnen einen Prozess zur Behandlung solcher zentralen risikorelevanten Fragen. Denn genauso wichtig wie die Antwort auf eine solche Frage, ist die Dokumentation aller Abwägungen und Begründungen für diese Entscheidung.
Ebenso helfen wir Ihnen die optimale Form für diese Dokumentation zu finden. In vielen Fällen reicht schon eine Excel-Datei, aber für alle komplexeren Situationen können wir Ihnen dabei helfen, geeignete Software auszuwählen. Hier können Sie sich auf unsere Erfahrung und vor allem unsere unabhängige Beratung verlassen, da wir in keiner Situation Zahlungen (Kickback etc.) von Dritten Parteien annehmen.
Eine solche Dokumentation von grundlegenden Risikorichtlinien hat eine ganze Reihe von Vorteilen:
- Entsprechende abgeleitete Richtlinien - z.B. Programmierrichtlinien - sind für die Entwickler auch auf Dauer nachvollziehbar und damit umsetzbar
- Neue Mitarbeiter können damit gezielt geschult werden, damit Sie vom ersten Tag an grundlegende Verhaltensweisen befolgen
- Das Management kann bei Sicherheitsvorfällen nachweisen, dass Sie angemessene Sicherheitsmaßnahmen initiiert haben
- Nach jedem Sicherheitsvorfall kann man für die vorhandenen Risikorichtlinien deren Umsetzung überprüfen und gegebenenfalls sowohl die Umsetzung als auch die jeweiligen Richtlinien anpassen
- Weitere Investitionen in Software, Dienstleistungen etc. können anhand dieser Risikolisten evaluiert werden, um zu garantieren, dass alle Schritte der Wertschöpfungskette die benötigte Sicherheit garantieren
Kontinuierliche Dokumentation aktueller Risiken
In einem zweiten Schritt helfen wir Ihnen auch aktuelle Risiken, welche im Rahmen eines Pentests gefunden wurden, in diese Liste einzuarbeiten. Somit behalten Sie stets einen Überblick, welche Risiken schon adressiert wurden und welche Risiken noch offen sind.
Diese Liste wird Ihnen auf Dauer helfen, den Aufwand für Security in Ihrem Entwicklungsprozess zu optimieren. Wenn die Liste vom Umfang her sinkt, so können Sie sicher sein, dass Ihr Aufwand im Moment ausreichend ist. Kommen hingegen neue Risiken schneller hinzu, als alte Risiken mitigiert werden, so muss man entweder den Prozess anpassen oder schlichtweg mehr Ressourcen für die Sicherheitsthemen reservieren. Außerdem können Sie so auch schneller Duplikate finden und Maßnahmen zusammenfassen - was fast immer zu einer höheren Effizienz führt.
Zuletzt ist Ihnen beim Bekanntwerden von neuen Exploits bei der schnellen Analyse geholfen, ob Sie betroffen sind und welche Komponenten ausgewechselt oder gepatcht werden müssen, um Ihre Angriffsfläche zu reduzieren.
Transformationen aufgrund des Risikomanagements planen
Oft initiiert der erste Pentest, den eine Firma durchführt, die Einsicht, dass eine kontinuierliche Arbeit an der Sicherheit auf allen Ebenen notwendig ist. In dieser Situation gibt es immer eine signifikante Differenz zwischen den sofort umzusetzenden Aufgaben und den vorhandenen Ressourcen. Selbst wenn die Einsicht, der Wille und das finanzielle Engagement vorhanden sind, braucht die Umsetzung vieler Maßnahmen schlichtweg Zeit.
Auch die schiere Menge von Risiken produziert oft neue Risiken, z.B. dass einzelne Themen übersehen werden, oder dass alleine die Risikobewertung selbst schon zu lange dauert.
In dieser kritischen Anfangsphase helfen wir Ihnen eine Triage durchzuführen, um die wirklich hohen Risiken schnell zu identifizieren und gleichzeitig nichts zu übersehen. Auch können wir Ihnen hier verschiedene Handlungsoptionen aufzeigen, die nicht naheliegend sind, aber in Ihrem Fall helfen können, sehr schnell und mit wenig Aufwand zumindest das Schlimmste zu verhindern.
Beispielsweise setzte ein Kunde eine veraltete und damit verwundbare Library zum Management von Business Rules ein. Die offensichtliche Lösung wäre, diese Library auf die neuste Version zu updaten, nur war dies im konkreten Fall zu zeitintensiv, da zwischen der aktuellen Version und der verwendeten Version massive Unterschiede in der Syntax und der Semantik der Business Rules eingeführt wurden. Ein Neuschreiben dieser Regeln wäre zwar vielleicht noch möglich gewesen, aber das fachliche Testen hätte zu einem nicht akzeptablen Aufwand geführt.
Daher haben wir für den Kunden eine externe Firewall (in diesem Fall Akamai) eingeführt und die Schwachstelle durch eine kundenspezifische Regel in dieser Firewall eliminiert. Dies war keine perfekte Lösung, aber so konnte der Kunde eine schwerwiegende Sicherheitslücke innerhalb von drei Tagen mitigieren, die sonst Monate gebraucht hätte.
Gerade durch unsere teils jahrzehntelange Erfahrung können wir oft die Zeit zur Wiederherstellung eines sicheren Betriebs massiv verkürzen.