Abschnitt 4.1 ist einer der kürzeren in diesem Buch und führt das Konzept „Security by Design“ ein: Sicherheit muss von Anfang an integriert werden, um potenzielle Risiken, organisatorisch wie technisch von vornherein zu minimieren.
Grundlagen der Cloud-Entwicklung
„Security by Design“ – dieser kurze Satz ist der Grundstein moderner sicherer Softwareentwicklung, und zwar nicht nur in der Cloud. Er bedeutet, dass Sicherheit in jeder Entwicklungsphase integriert werden muss, damit Schwachstellen gar nicht erst entstehen. Dabei sind Sicherheitsanforderungen kein nachträglicher Anhang, sondern ein untrennbarer Teil der funktionalen Anforderungen.
Das Konzept „Security by Design“ sollte nicht nur auf die Softwareentwicklung beschränkt werden, sondern auch die Unternehmenskultur miteinbeziehen. Sicherheit ist innerhalb einer Organisation nicht nur eine gemeinsame Aufgabe vieler Beteiligter, sondern eine gemeinsame Verantwortung, die nicht allein beim Security Team liegt.
Häufige Fallstricke
Wenn über Fallstricke in der sicheren Softwareentwicklung gesprochen wird, geht es letztendlich um alles, was dem Konzept „Security by Design“ widerspricht, besonders wenn man den Kontext von Schulungen und Sensibilisierung bedenkt.
Der wichtigste erste Schritt ist daher die Notwendigkeit zielgerichteter und praxisnaher Security- und Awareness-Trainings. Es braucht nicht nur Wissen und Fähigkeiten, sondern auch das richtige Bewusstsein. Sicherheit sollte Teil der DNA einer Organisation sein – nicht nachträglich integriert, sondern von Anfang an eingeplant. Jede nachträgliche Korrektur ist mit unnötigen und oft erheblichen Kosten verbunden.
Technische Fallstricke wie unsichere APIs, Hardcoded Credentials oder Vendor Lock-in werden in den folgenden Abschnitten detailliert behandelt bzw. wurden bereits erläutert.
Häufige Cloud-Schwachstellen
Um häufige Cloud-Schwachstellen besser kennenzulernen, empfiehlt die CCSP-Guideline die Auseinandersetzung mit zwei zentralen Referenzen:
OWASP Top 10 ist eine vom Open Web Application Security Project regelmäßig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Sie gilt weltweit als de-facto-Standard für Entwickler und Security-Teams:
CWE Top 25 (Common Weakness Enumeration) ist eine von MITRE gepflegte und von SANS verbreitete Liste der 25 gefährlichsten Softwareschwachstellen. Sie dient als Grundlage für sicheres Coding und Code-Reviews: