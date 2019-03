Eine neue Studie der Universität Bonn zeigt, dass Entwickler oft nur dann sichere Software schreiben, wenn dies explizit von ihnen verlangt wird. Für die Studie wurden freischaffende Programmierer mit der Entwicklung einer Nutzer-Registrierung für eine Social-Media-Plattform beauftragt. Abhängig von der Formulierung der Aufgabenstellung gibt es deutliche Unterschiede im Umgang mit Sicherheitsfragen.

Die angeheuerten Entwickler wurden in zwei Gruppen geteilt: Die erste Gruppe erhielt in der Aufgabenstellung keine Anforderungen zur Sicherheit, von der zweiten Gruppe wurde das sichere Speichern von Passwörtern verlangt. Wenn keine Sicherheitsanforderungen gestellt wurden, legte die deutliche Mehrheit (17 von 21) unsicheren Code vor. Nur vier Entwickler aus dieser Gruppe lieferten eigenständig eine sichere Lösung. Etwas mehr als die Hälfte (13 von 21) der anderen Gruppe präsentierte eine Lösung mit sicherer Speicherung der Passwörter.

Den Programmierern wurde jeweils Code für ein unvollständiges Projekt zur Verfügung gestellt, in den sie ihre Lösung einarbeiten sollten. Dabei unterlief den Autoren der Studie der Fehler, dass zunächst an einige der Freelancer Code mit den Importen java.security und javax.crypto verschickt wurde. Keiner der betroffenen Entwickler lieferte dem vermeintlichen Kunden sicheren Code. Als unsicher werden in dieser Studie leicht zu brechende oder überholte Verfahren sowie im Klartext gespeicherte Passwörter betrachtet.

Sichere Software muss eine Anforderung sein

Auf die Frage, weshalb sie keinen sicheren Umgang mit Passwörtern implementiert hätten, verwiesen einige der Programmierer auf die Aufgabenstellung. Mehrere von ihnen betonten, dass Sicherheit in die Beschreibung der Anforderungen aufgenommen werden müsse, wenn man entsprechende Software erwarte. Auch die in der Studie durchgeführten statistischen Untersuchungen zeigen die Tendenz, dass sichere Software nur auf Verlangen geliefert wird.

In der jüngeren Vergangenheit wurde unter Stichwörtern wie DevSecOps oder Shift Left Security oft darüber gesprochen, dass Sicherheit von Anfang an ein zentraler Teil der Softwareentwicklung sein sollte. Solange professionelle Entwickler Passwörter im Klartext speichern, scheint hier noch viel Raum für einen Bewusstseinswandel zu sein.

Die vollständige Studie steht unter dem Titel „If you want, I can store the encrypted password.“ A Password-Storage Field Study with Freelance Developers als PDF zur Verfügung.