Interview mit Dr. Bruce Sams

„Sichere Software ist keine schwarze Magie“

Redaktion JAXenter

Dr. Bruce Sams

Wie kann man die Sicherheit und Qualität einer Anwendung steigern? Mit diesem Thema beschäftigt sich Bruce Sams in seiner Session auf der W-JAX 2015. Wir haben uns mit ihm darüber unterhalten, warum es eigentlich immer wieder zu gravierenden Sicherheitslücken kommt – und wie man sie vermeidet!

JAXenter: Es gibt keine Software ohne Sicherheitslücken. Doch woher kommen die eigentlich – schlechte Programmierung, Fehler in den verwendeten Frameworks/Librarys, undurchdachte Sicherheitskonzepte?

Bruce Sams: Eigentlich gibt es alle diese Quellen und mehr. Zum Beispiel unzureichendes Patch-Management oder unklare Compliance-Anforderungen. Meine Interessen sind aber meist in der Programmierung und daher sind die Bereiche, in denen Code geschrieben/verwendet wird für mich besonders interessant.

JAXenter: Dann schließt sich natürlich die Frage an, wie man es besser macht! Einige Tipps?

Bruce Sams: Na klar! Der Königsweg ist die Umsetzung eines sicheren SDLCs, z.B. nach dem Muster von OpenSAMM. Durch einen sicheren SDLC kann man alle relevante Aspekte der Softwareentwicklung berücksichtigen und dadurch Geld und Ressourcen optimal einsetzen.

JAXenter: Nun geistern ja regelmäßig Horror-Meldungen über prominente Sicherheitslücken durch Netz – Zero Day Exploits in Java, Heartbleed, Stage Fright, etc. Sind diese Meldung übertrieben?

Bruce Sams: Nicht unbedingt übertrieben, aber es muss meines Erachtens immer ein sinnvolles Gleichgewicht zwischen Sicherheit und Wirtschaftlichkeit geben. Dieses Gleichgewicht kann von System zu System anders sein und auch von Branche zu Branche.

JAXenter: In einer W-JAX Session stellst du das OpenSAMM-Modell vor. Worum geht es dabei?

Bruce Sams: OpenSAMM bietet einen offenen Rahmen, in dem Firmen Ihre Prozesse für den sicheren SDLC vergleichen und realisieren können. Dabei ist OpenSAMM flexibel und kostenlos. Es kann auch für jedes Unternehmen verwendet werden, da es ein Reifegradmodell ist (wie auch z.B. CMMI).

JAXenter: Was ist die Kernbotschaft deiner Session? Was willst du den Besuchern auf alle Fälle mit auf den Weg geben?

Bruce Sams: Sichere Software ist keine schwarze Magie, sie sollte Teil eines Prozesses sein. Ad-Hoc-Maßnahmen wie Pen-tests oder Code Reviews sind gut, aber sie sollten als Teile eines sicheren SDLCs gesehen werden. In meinem Vortrag zeige ich, wie einfach das geht und gebe einige Beispiele, wie ein Unternehmen seinen Sicherheits-„Reifegrad“ einfach messen kann. Das tut gut und ist ein wichtiges Instrument, die Sicherheit zu quantifizieren.

Dr. Bruce Sams ist Geschäftsführer von OPTIMAbit GmbH. Er ist Autor vieler Fachartikel über Sicherheit und ein bekannter Speaker auf nationaler und internationaler Ebene. Dr. Sams erlangte seinen Doktortitel in Astrophysik an der Harvard University in Boston und zog 1991 nach München, wo er zuerst beim Max-Planck-Institut als Forscher tätig war. Seit 1998 ist er im Bereich Sicherheit aktiv und war Mitbegründer der OWASP in Deutschland.

Verwandte Themen:

Geschrieben von
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: