„Secure by Design“ bzw. „Security by Design“ spielen bei der Softwareentwicklung eine immer größere Rolle. Was beinhaltet Security by Design und warum sollten Sie bei der Auswahl von Unternehmensoftware auf Security by Design achten?
Was bedeutet Secure und Security by Design?
Die Begriffe Secure bzw. Security by Design beziehen sich darauf, dass Software von Grund auf sicher designt wird. Die Sicherheit einer Software oder App wird also von Anfang an einbezogen und ist nicht nur ein zusätzliches Feature, das am Ende einem Produkt hinzugefügt wird. Mit Design ist in dem Fall gemeint, wie ein System funktioniert und nicht (nur) wie es aussieht. Software ist demnach danach ausgerichtet, dass sie sicher ist und unter anderem vor Cyberangriffen, Datenmanipulation und Datendiebstahl schützt. Spätere Sicherheitslücken und Schwachstellen sollen durch ein solches Vorgehen minimiert werden.
Das Sicherheitsthema sollte daher von Anfang eine gleichberechtigte Rolle in der Softwareentwicklung einnehmen, neben anderen zentralen Anforderungen wie der Funktionalität oder der Usability. Das hat den Vorteil, dass spätere Fehler vermieden und die Angriffsfläche minimiert wird.
Im Zusammenhang mit Security by Design wird häufig der Begriff Privacy by Design genannt. Was Privacy by Design ist und warum das Konzept gerade ihm Rahmen der DSGVO so wichtig ist, lesen Sie im Blogartikel Privacy by Design & Privacy by Default.
Warum Security by Design wichtig ist?
Nicht nur die Anzahl an Cyberattacken auf Unternehmen steigt, auch werden Angriffe immer komplexer. Um nicht im Nachhinein viele Ressourcen in die Abwehr von Cyberrisiken zu stecken, müssen Unternehmen die Sicherheit bzw. mögliche Risiken frühzeitig bei der Auswahl und Entwicklung passender IT-Lösungen bedenken.
Dazu kommt, dass im Unternehmen zunehmend mobil mit Smartphones und Tablets gearbeitet wird. Mehr Geräte bedeuten für die IT-Sicherheit nicht nur an sich höhere Risiken und Angriffsflächen, sondern auch neue Bedrohungen. Schadsoftware richten sich beispielsweise zunehmend an Mobilgeräte, vor allem Android ist ein beliebtes Ziel. Mehr über mobile Sicherheitsrisiken lesen Sie im Blogpost „Mobile Security“.
Usable Security
Usability und Sicherheit werden leider häufig als zwei gegensätzliche Pole betrachtet. Ein System ist also entweder sicher oder einfach zu nutzen. Neben den Sicherheitsaspekten muss daher auch die Usability von Anfang in die Produktentwicklung einbezogen werden, denn beide Konzepte gehören zusammen. Eine sichere Software nutzt dem Unternehmen nichts, wenn diese vom Mitarbeiter nicht (einfach) genutzt wird, da er seine Aufgaben nicht erledigen kann. Im schlimmsten Fall wird das System umgangen und es kommen andere, unsichere Tools zum Einsatz.
Dabei ist es wichtig, die Bedürfnisse der User zu verstehen: Warum möchten Mitarbeiter beispielsweise von unterwegs E-Mails abrufen und in welchem Kontext tun sie das schon?
Die einfachste Möglichkeit, mit der ein User seine Aufgabe erledigen kann, sollte daher auch gleichzeitig die sicherste sein. Die Sicherheit sollte zudem by default, also ohne umständliche Änderungen der Einstellungen durch den User gegeben sein. Das hat zur Folge, dass die Akzeptanz durch den Nutzer hoch ist und dieser das System auch gerne nutzt.
Mobile Security
Gerade mobile Apps sind zwar häufig super in der Usability, die Sicherheit spielt jedoch eine untergeordnete Rolle. Eine App wird schnell mal runtergeladen und eingesetzt, ohne sich dabei um Sicherheitsaspekte Gedanken zu machen. Doch für die Unternehmens-IT kann das schwerwiegende Konsequenzen haben, wenn beispielsweise über eine App unbeabsichtigt Malware in das Unternehmensnetzwerk geschleust wird oder Unternehmensdaten abgefangen werden.
Gleichzeitig fordern mehr und mehr Arbeitnehmer mobiles Arbeiten mit Smartphone und Tablet ein. Dabei bevorzugen sie Tools, die einfach zu nutzen sind und achten nicht unbedingt auf die Sicherheit. Häufig kommen Apps und Mobilgeräte zum Einsatz, die nicht durch die Unternehmens-IT zugelassen sind. Neben den Sicherheitsrisiken bestehen dabei auch Probleme hinsichtlich des Datenschutzes, da private und dienstliche Daten auf Mobilgeräten strikt getrennt werden müssen.
SecurePIM: Security by Design auf einem neuen Level
Dabei gibt es eine Lösung, die das sichere, mobile Arbeiten und eine hohe Usability vereint: die Container App SecurePIM. Durch den Einsatz der Container-Technologie schafft SecurePIM einen geschützten und sicheren Bereich auf dem Mobilgerät, in dem alles Geschäftliche gebündelt ist. Sicheres mobiles Arbeiten ist daher ganz einfach möglich.
SecurePIM ist die optimale Lösung für Unternehmen, die ihren Mitarbeitern das mobile Arbeiten ermöglichen möchten und gleichzeitig die Sicherheit nicht außen vor lassen wollen. Zum einen müssen die User keine Sicherheitsexperten sein, da die App ganz einfach zu nutzen ist. Zum anderen ist die App by default sicher. Zentrale Sicherheitsaspekte wie Verschlüsselung oder die Trennung von privaten und dienstlichen Daten können nicht vom User umgangen werden. Bei Bedarf können weitere Sicherheitseinstellungen im Management Portal vorgenommen werden.
Daneben ist Security by Design im kompletten Entwicklungsprozess von SecurePIM von Bedeutung. Sicherheitsaspekte wurden von Beginn an ebenbürtig zu anderen Aspekten wie Funktionalitäten oder Usability gesehen. Und auch bei der Entwicklung neuer Features steht immer die Frage im Raum: wie können Sicherheit und Usability erhöht werden?
Security by Design in der Praxis: Wie Efail die Entwicklung von SecurePIM beeinflusst hat
Ein konkretes Beispiel ist das Sicherheitsproblem Efail auf dem Jahr 2018, welches sich auf die E-Mail-Verschlüsselung bezog. Sicherheitsexperten gelang es, unberechtigterweise auf verschlüsselte E-Mails zuzugreifen. Unter anderem spielte dabei das Nachladen externer Inhalte, beispielsweise Bilder im Anhang, eine Rolle. Das Team von Materna Virtual Solution reagierte auf diese Sicherheitslücke, indem der Download externer E-Mail Inhalte innerhalb von SecurePIM durch den Administrator unterbunden werden kann. Details zu Efail und wie die Lücke mit SecurePIM umgangen werden kann, lesen Sie im Blogpost „von Efail gelernt“.
Falls Sie über aktuelle Blogartikel informiert werden möchten, stehen Ihnen verschiedene Möglichkeiten zur Auswahl, um dem Blog zu folgen:
Social Media
Folgen Sie uns auf Xing, LinkedIn und Twitter und informieren Sie sich über neue Blog-Artikel und Produkt-News:
Auch interessant:
Whitepaper: Mobiles Arbeiten in der Digitalen Verwaltung
Lesen Sie im Whitepaper mehr über Herausforderungen der Digitalisierung und Einsatz von Mobilgeräten in Behörden.
Blogbeitrag: Trend Mobiles Arbeiten
Voraussetzungen und Datenschutz für Arbeitsplätze und Arbeitsweisen beim Arbeiten von überall.