23.04.2014 - 15:27

„Der Geist kann nicht zurück in die Flasche“

Kelly Robertson, Director bei der WhiteHat Security Inc., spricht auf der M-Days über seine “Mobile Security”- Erfahrungen. Im Gespräch mit der Messe Frankfurt gab er vorab einen kleinen Einblick. Das Interview in Auszügen.

Wie sehen Sie die allgemeine Bedeutung des Themas "Mobile Security" in einem Umfeld, in dem jeder, privat wie geschäftlich, ständig unterwegs ist?

Kelly Robertson: Es gibt eine beispiellose Übernahme von Web-Applikationen auf Mobilgeräte, doch diese Applikationen sind per se recht instabil. Hardware und Web-Applikationen für das mobile Umfeld werden ständig überarbeitet, um die Nachfrage nach neuen Features zu erfüllen. Zwischen dem Bestreben der Verkäufer, schnell auf den Markt zu gehen, diffusen Umsetzungs-Standards und großem Vertrauen, das von anderen Anbietern übernommen wurde, ist Platz für erhebliche Schwachstellen.

Wir müssen erkennen, dass alles viel schneller passiert, als wir es aus der Geschichte des Internets kennen, und dass das Internet eine lange Tradition hat, Sicherheitsfragen erst dann zu lösen, wenn die Katastrophe schon eingetreten ist.

Welche Elemente sind Ihrer Meinung nach unerlässlich für den Aufbau eines sicheren Lebenszyklus-Portfolios für die Software-Entwicklung?

Kelly Robertson: Es ist unbedingt erforderlich, dass die Softwareentwickler in aller Welt beginnen, rationale Prozesse zu organisieren, die sich mit den geschäftlichen Zielen decken. Aber oft werden die Entwickler aus dem Entscheidungsablauf für die Steuerung des Softwareentwicklungs-Lebenszyklus (SDLC) herausgehalten. Aufgrund geschäftlicher Notwendigkeiten, wie Wettbewerb, Technologie-Entwicklung und anspruchsvolle Kunden, müssen die Entwickler oft extrem kurze Fristen einhalten. Das wird häufig im Widerspruch zu den bewährten Verfahrensweisen für eine sichere Code-Entwicklung stehen.

Wie kommt es zu diesem Widerspruch?

Kelly Robertson: Wir haben von Softwareunternehmen gehört, dass "der Versand ein Produktmerkmal ist". Das soll heißen, sie sind bereit, auf den Markt zu gehen, obwohl ihr Code einige bekannte Knackpunkte hat. Dabei lässt sich schwer sagen, was in punkto Sicherheit berücksichtigt werden muss, wenn die Software schon steht. Tests nach dem Code-Freeze sind einfach zu spät, um wirtschaftlich vertretbar zu sein.

Die sichere Code-Entwicklung wird heutzutage an den Universitäten kaum gelehrt. Noch weniger geht es an Hochschulen, Weiterbildungsstätten und im Rahmen der computergestützten Ausbildung (CBT) um die Bedrohungsmodellierung. Computergestützte Ausbildung zur Schulung virtueller Entwicklungsteams in unterschiedlichen Gebieten kann viel dazu beitragen, ein gemeinsames Lexikon für effektivere Diskussionen zu bekommen.

Reicht es dann, Entwickler über Strategien und Prozesse im Zusammenhang mit den heute bekannten Schwächen zu schulen?

Kelly Robertson: Ein rationaler Ansatz wäre es, schon in der Planungsphase mit der Umsetzung der Sicherheit zu beginnen, dann während des Entwicklungszyklus verschiedene Tests durchzuführen und schließlich in der Produktion bzw. nach der Integration in eine Plattform oder Applikation, die von einem Partner entwickelt wurde, erneut zu testen.

Bedrohungsmodellierung, Inline-Analyse während der Entwicklung und Echtzeitanalyse nach Live-Schaltung der Applikation sind unbedingt zu integrieren, aber hier müssen Effizienzgewinne entwickelt werden, um wirtschaftlich tragfähig und schnell genug für den Markt zu sein. Heute sind wir mit der Herausforderung konfrontiert, dass eine fachkundige Analyse tatsächlich nur durch einen menschlichen Eingriff möglich ist, und dieser kostet Zeit und Geld.

Würden Sie sagen, dass es eine besondere Branche oder einen Markt gibt, den man sich genauer anschauen sollte, um für möglicherweise drohende Mobile-Security-Risiken gewappnet zu sein?

Kelly Robertson: Das Risiko verteilt sich sehr gleichmäßig. Natürlich haben Banken und andere Finanzinstitute massiv investiert und entwickeln sehr effektive Abwehrsysteme, um Probleme zu verhindern. Als nächstes kommt jedes der sogenannten Web-2.0-Unternehmen an die Reihe. Diese Anwendungen haben vielleicht einen Einkaufswagen, sie verarbeiten Kreditkartentransaktionen und können Anwender, Bestände und andere höchst begehrte Geheimnisse verfolgen. Oft sind sie Branchenstandards verpflichtet, die von den Zahlungskarteninstituten festgelegt werden, doch hier fehlt der Zwangsaspekt anderer Vektoren.

Wirklich Sorgen muss man sich um jeden sich rasch wandelnden Vektor machen. Das mag offensichtlich sein, aber das Risiko wird durch die Variablen verstärkt, und in der Welt der Mobilität ist heutzutage jede Variable im Bau befindlich.

Welche Entwicklungen und wichtigen Themen sehen Sie im Bereich Mobile Security in den kommenden fünf Jahren?

Kelly Robertson: Wahrscheinlich gibt es in den kommenden 18 Monaten größere Probleme, wovon vermutlich Millionen von Anwendern gleichzeitig betroffen sind. Wenn etwa ein Schädling freigesetzt wird, der sein Unwesen in den Daten einer stark genutzten Social-Media-Seite treibt. Oder wenn ein Nationalstaat in der Lage ist, effektiv Einfluss auf die Zivilbevölkerung eines Feindes zu nehmen - zum Beispiel mit einem Bot - dann wird das Vertrauen der Leute in die mobile Kommunikation auf die Probe gestellt. Elektronische Brillen können eine neue Bedrohungslage sein, wenn sie nicht sehr sorgsam gefertigt werden, und das nicht nur im Hinblick auf die Sicherheit, sondern auch auf die Privatsphäre.

Ein größerer Mobile-Security-Vorfall wird vermutlich zu nennenswerten, aber belanglosen Protesten einer lautstarken Gruppe führen. Doch der Geist kann nicht zurück in die Flasche. Der mobile Zugriff auf zeitkritische oder aufschlussreiche Informationen ist eine Realität des Lebens. Daraus wird sich voraussichtlich eine verbesserte mobile Erfahrung durch mehr Sicherheit ergeben.

Haben Sie hinsichtlich der Sicherheit einen Rat für Unternehmen, die über die Umsetzung einer mobilen Strategie nachdenken?

Kelly Robertson: Vertrauen Sie vor allem nicht den Endanwendern! Sie laden sie ein, in Ihr Geschäft zu kommen, können aber deren Absicht gar nicht erkennen. Biometrische Authentifizierung kann helfen sicherzustellen, dass eine Person die ist, für die sie sich ausgibt, aber die Validierung der Benutzer-Eingabe ist nach wie vor das A und O für einen sicheren Dialog.

Das komplette Interview können Sie auf der Opens external link in new windowWebsite der M-Days lesen.

posten in:


Ressort: M-Days, Interviews
Maximilian Feigl

Neu 2014

M-Days "Business is Mobile"

 

  • Die M-Days werden internationaler
  • Neuer Termin: 13. und 14. Mai 2014
  • Verleihung des Best of Mobile Award am Vorabend
  • Sie wollen 2014 dabei sein? Schicken Sie eine E-Mail an Opens window for sending emailc.szameitat@remove-this.11prozent.de

Meinungen und Eindrücke

mehr unter www.m-days.com

Speaker 2014

Walter Freese TNS Infratest
Jörg Rensmann InfoMantis
Jan Gessenhardt aperto move
Michael Kuhlmeyer Media!house direct
Stefan Krueger valuephone
Tobias Berlin mediaTest digital
Christian Georg Netsize
Sebastian Tiesler Star Finanz
Esther Kleine mediaTest digital
Torsten Drees Magic Software Enterprises
Philipp Benkler Testbirds
Michael Heiß ARS Computer und Consulting

Veranstalter

Messe Frankfurt

Ludwig-Erhard-Anlage 1
60327 Frankfurt am Main

weitere Infos zur Anreise

 

Im Auftrag und namens  der Messe Frankfurt Exhibition GmbH handeln:

11 Prozent Communication

Landshuterstr. 57
85436 Erding

GS1 Germany GmbH

Maarweg 133
50825 Köln

 

Show Your App Award

Dies sind die besten Apps 2014

Auf der M-Days wurden auch im diesem Jahr die besten gekürt. Jury und Verbraucher wählten in zwei voneinander unabhängigen Votings ihre Favoriten. Hier geht es zu den Gewinnern des App-Awards.

Mehr unter www.showyourapp.com.