Security-Fachleute und das Gehirnchirurgen-Paradoxon

Ich möchte mit ein paar hypothetischen Fragen an euch starten, die im Umfeld der IT- und Anwendungssicherheit etwas ungewöhnlich erscheinen. Ich möchte diese Fragen aber nutzen, um einen Grundgedanken zu platzieren, der mich schon etliche Jahre umtreibt – und zwar das Thema der adäquaten Versorgung von Entwicklungsprojekten mit Security-Expertise. Dafür möchte ich mit euch einen kleinen Exkurs wagen:

Würdet ihr euch am Gehirn operieren lassen, wenn die für die Operation vorgesehene Operateurin kein abgeschlossenes Medizinstudium und nicht mehrere Jahre Erfahrung mit Gehirn-Operationen hat?

Die Antwort ist vermutlich ein klares „Nein“.

Ändern wir das Szenario ein wenig: Würdet ihr euch in einer Klinik operieren lassen, die einen Chefchirurgen hat, der über genaue Vorgaben und Definitionen darüber verfügt, wie man eine Gehirn-OP durchführt, es aber immer noch keine erfahrenen und ausgebildeten Chirurginnen und Chirurgen gäbe?

Vermutlich ändert das eure Meinung nicht.

Lasst uns das Szenario erweitern: Der Chefchirurg hat das Problem erkannt und bietet Awareness- und Expertenschulungen für diese Art von OPs an. Die möglichen Operateurinnen und Operateure haben sich außerhalb der Schulungen jedoch nur sehr bedingt mit dem Thema beschäftigt.

Das ändert eure Meinung immer noch nicht? Dann vielleicht mit dieser Änderung:

Der Chefchirurg hat ein Schulungsprogramm für Gehirn-OP-Fachleute ins Leben gerufen. Das heißt, Mitarbeitende werden – eventuell sogar nach Neigung und Vorwissen – mit der Aufgabe betraut, in Zukunft Gehirn-OPs durchzuführen. Dafür werden sie besonders geschult, aber eigentlich haben sie immer noch einen anderen Job.

Ich kann mir kaum vorstellen, dass ihr jetzt bereit dazu wärt, euch operieren zu lassen, oder?

Was hat das mit IT- und Anwendungssicherheit zu tun?

Ein Vergleich zwischen Gehirnchirurgie und Sicherheit wird natürlich immer hinken. Aber es gibt ein paar – zugegebenermaßen abstrakte – Gemeinsamkeiten: In beiden Fällen gibt es einen umfangreichen Wissens- und Erfahrungsschatz und in beiden Fällen gibt es tatsächlich ausgewiesene Expertinnen und Experten. Beide Themen haben auch eine gewisse Komplexität und sind nicht in kurzer Zeit mehr oder weniger vollständig zu erfassen.

Das ist sehr allgemein, warum mache ich den Vergleich dennoch? Ganz einfach, in der Softwareentwicklung verfahren wir häufig genau so. Wir beginnen damit, einen Chief Information Security Officer zu benennen, der Leitlinien und Richtlinien erlässt. Dann starten wir ein Ausbildungsprogramm und zu guter Letzt installieren wir ein Security-Champion-Programm.

Das heißt, in der finalen Ausbaustufe, dem Security-Champion-Programm, lassen wir technisch versierte Mitarbeitende ein besonders fundiertes Schulungsprogramm durchlaufen. Die Idee ist, dass über die Projekte und Organisation verteilt genügend Expertinnen und Experten „lokal“ in ihrem Kontext das Thema Security vertreten und die wichtigen Security-Fragen klären.

Ein solches Programm kann funktionieren und es gibt auch immer wieder sehr gute Beispiele, wo es tatsächlich zu guten Ergebnissen führt. Es bleibt aber ein wenig dem Zufall überlassen, ob eine Entwicklerin oder ein Entwickler, ein Architekt oder eine Architektin, die oder der zusätzlich mit dieser Aufgabe betraut wird, auch die Zeit und die Erfahrung hat, um zumindest sein Projekt in Security-Fragen gut genug zu unterstützen.

Was wäre die Alternative?

Ganz einfach: die Bereitstellung von Security-Fachleuten, die sich den Titel verdient haben und Erfahrung mitbringen. Das kann zentral oder auch auf Abteilungsebene organisiert sein. Wichtig ist, dass es sich um echte Fachleute handelt, die tiefer in die Materie eingedrungen sind und die über die Zeit einen größeren Erfahrungsschatz gesammelt haben.

Meist lautet das Gegenargument: „Das skaliert doch gar nicht!“ Diesen Satz höre ich sehr oft.

Nur glaube ich leider nicht, dass das stimmt. Wenn man ernsthaft sichere Anwendungen bauen will, ist ein gewisser Aufwand erforderlich. Ob das ein Security-Champion macht oder eine Fulltime-Security-Expertin beziehungsweise ein Experte, der Aufwand ändert sich nicht. Vermutlich sind erfahrene Fachleute auch deutlich schneller und effizienter und brauchen im Schnitt für die gleichen Tasks sogar weniger Zeit. Die Kosten werden sofort transparent. Das Ergebnis spricht meiner Meinung nach also für sich.

Eine Fulltime-Security-Expertin beziehungsweise ein Experte wird in diesem Szenario vermutlich auch mehrere Projekte betreuen und so natürlich dazu beitragen, dass bestimmte Standards projektübergreifend umgesetzt werden. Das ist für Softwareentwicklungsprojekte sogar ein Gewinn. Mehr noch: Das manchmal doch recht lästige Thema Security wird auf nachhaltige Weise gelöst, ohne dass eigene Ressourcen dabei zu Buche schlagen.

Was bleibt, ist die Frage, ob es genügend Expertinnen und Experten auf dem Markt oder sogar in eurem Unternehmen gibt? Vermutlich nicht, aber das heißt ja nicht, dass wir nicht daran arbeiten können. Bezogen auf unseren Exkurs in die Chirurgie heißt das, wenn es nicht genügend Gehirnchirurginnen und -chirurgen gibt, muss man ja auch in mehr Ausbildung investieren.

Wie machen wir das bei adesso? Natürlich haben wir Schulungen für Entwicklerinnen und Entwickler und es gibt dokumentierte Vorgaben. Aber wir wollen das Thema Sicherheit nicht dem Zufall überlassen und haben deshalb ein Team von Expertinnen und Experten, das sich ganz dem Thema sichere Softwareentwicklung widmet. Mit diesem Team unterstützen wir unsere eigenen Entwicklungsprojekte beim Kunden, aber auch Projekte und Vorhaben von Kunden, die zum Beispiel komplett vom Kunden selbst durchgeführt werden. Das Team verfügt natürlich bereits über Erfahrungen, die kontinuierlich weiterentwickelt werden, beispielsweise durch Schulungen und spezifische Trainings.

Fazit

In der Softwareentwicklung wird oft ein Sicherheits-Champion-Programm verwendet, um Sicherheitsbewusstsein zu fördern. Ich favorisiere jedoch erfahrene Sicherheitsexpertinnen und experten für nachhaltigere Ergebnisse. Nur so können branchenübergreifende Standards gesetzt und das Sicherheitsthema nachhaltig angegangen werden. Das Problem einer mangelnden Verfügbarkeit von Fachleuten kann durch Investitionen in Ausbildung gelöst werden.