Per Low Code Development zu mehr IT-Sicherheit

76 Prozent aller IT-Anwendungen weisen mindestens eine Schwachstelle auf. Und eine Million Programmzeilen enthalten durchschnittlich rund 6.000 Fehler, von denen circa fünf Prozent für kriminelle IT-Angriffe durch Schad-Software aller Art wie zum Beispiel Trojaner ausgenutzt werden können. ‚Low Code Development’ ist im Vergleich zur traditionellen Programmierung die adäquate und auch bessere Methode – nicht nur aus wirtschaftlichen Gründen, sondern auch im Sinne von „Security by Design“. Denn wenn Software-Code kaum noch manuell programmiert werden muss, reduzieren sich Programmierfehler und damit verbundene Sicherheitslücken, die für mögliche Cyber-Attacken ausgenutzt werden können, auch signifikant.

Deutsche Unternehmen sind in diesem Jahr stärker denn je zum Ziel krimineller Attacken geworden, stellte der Bundesverband der Deutschen Industrie (BDI) Anfang Juli 2021 fest. „Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute“, sagte der Leiter der Abteilung Sicherheit beim BDI, Matthias Wachter, der Welt am Sonntag.(1)  Fast zeitgleich zu dieser Warnung wurden weltweit mindestens 200 Unternehmen mit der Ransomware REvil über die MSP-Lieferkette von Kaseya VSA angegriffen – einer MSP-Plattform, mit der Anbieter Patch-Management und Client-Überwachung für ihre Kunden durchführen können, berichtete das Online-Portal it-daily.net. (2)

Dieser spektakuläre Hackerangriff sorgte weltweit für Schlagzeilen wie die der Frankfurter Allgemeine Zeitung (F.A.Z.) vom 05.07.2021: „Cyberangriff provoziert Amerika“. Nach Angaben der Tageszeitung erfolgt global alle 11 Sekunden eine Ransomware-Attacke und 81 Prozent aller Unternehmen seien darüber besorgt. Die Höhe der durchschnittlichen Lösegeldforderung liegt bei 178.000 Dollar und 80 Prozent der Unternehmen, die Lösegeld zahlten, wurden von einer weiteren Attacke getroffen.

Wie sich ein solcher IT-Angriff in der Praxis auswirkt, beschreibt die F.A.Z. am 7. Juli 2021 in einem weiteren Artikel unter der Überschrift „Ransomware: Selbst die Drucker sprangen nicht mehr an“. (3)  Solche Cyberangriffen sind längst zu einem weltweiten Problem geworden wie das Beispiel der schwedischen Supermarktkette Coop zeigt, in deren Filialen Anfang Juli mehrere Tage lang die Kassensysteme nicht mehr funktionierten. Auslöser war in diesem Fall auch die große internationale Ransomware-Attacke auf das US-amerikanische IT-Unternehmen Kaseya, berichtete unter anderem das Online-Portal gfm-nachrichten.de (4).

Nach Angaben des IT-Security-Anbieters Tenable wurden für den Zeitraum von Januar bis Oktober 2020 insgesamt 730 IT-Sicherheitsvorfälle öffentlich bekannt, mit denen weltweit angeblich über 22 Milliarden Datensätze gehackt und offengelegt wurden. 35 Prozent dieser analysierten Sicherheitsverletzungen waren laut der Untersuchung „2020 Threat Landscape Retrospective“ demnach mit Ransomware-Angriffen verbunden, die enorme finanzielle Kosten verursachten. (5)

Alte, traditionell programmierte Software stellen ein (zu) hohes Sicherheitsrisiko dar

Die Komplexität heutiger, vielfach veralteter IT-Architekturen und -Applikationen stellt inzwischen ein (zu) hohes und kaum noch zu beherrschendes Sicherheitsrisiko dar. „Eine Vielzahl an Technologien, Produkten, Eigenentwicklungen, Konfigurationen und Schnittstellen fügen sich zu einem großen Ganzen zusammen, das nur noch sehr selten von einer einzigen Person zu durchdringen ist. In großen Konzernstrukturen sind nicht selten tausende betriebswirtschaftliche Anwendungssysteme im Einsatz. Hinzu kommen Telekommunikations-, Produktions-, Logistik- und andere Systeme“, stellten die beiden Autoren Nils Urbach und Frederik Ahlemann schon in dem 2016 erschienen Buch “IT-Management im Zeitalter der Digitalisierung” zutreffend fest. (6)

Beim offiziell ersten Cyber-Katastrophenfall in Deutschland wurde am 6. Juli 2021 die gesamte Verwaltung des Landkreises Anhalt-Bitterfeld durch einen Hackerangriff für rund zwei Wochen lahmgelegt. Dabei wurde das Problem veralteter, traditionell programmierter Software in Kommunen überdeutlich: „In Sicherheitskreisen wird darauf verwiesen, dass die kommunale IT-Infrastruktur in Deutschland wahrscheinlich am schlechtesten gegen Cyberangriffe geschützt ist – obwohl hier sehr viele Daten der Bürger anfallen“, schrieb die F.A.Z. am 10. Juli 2021 wörtlich. (7)

Circa fünf Prozent aller Fehler können als Schwachstellen für kriminelle IT-Angriffe durch Schad-Software aller Art wie zum Beispiel Trojaner ausgenutzt werden, berichtete das Digital Engineering Magazin am 29. September 2020 unter der Überschrift „Cyberangriff auf Yachten – Digitale Piraterie verhindern“. (8)  In diesem Bericht über die maritime Wirtschaft beruft sich die Fachzeitschrift auf die Studie „Lines of Code per Foot“ von MARSEC-XL (Marine Software Engineering Cluster of Excellence), die davon ausging, dass Software für eine 32-Meter-Yacht schon 2007 aus fünf Million Lines of Code (MLOC) bestand. „Auch wenn diese sehr gut programmiert sind, erwarteten die Autoren, dass etwa 8.400 Fehler auftreten, die ungefähr 420 Schwachstellen verursachen können. Die Studie prognostizierte außerdem für das Jahr 2020 einen Anstieg des Codes auf 50 MLOCs bei einer vergleichbaren Yacht. Entsprechend verzehnfachen sich auch die Fehler und die Schwachstellen. Nach der Einschätzung von MHP sind pro einer Million Programmzeilen durchschnittlich rund 6.000 Fehler enthalten. Sehr gute Programmierer erreichen auch einen Wert zwischen 600 und 1.000 Fehler pro MLOC. Dabei lassen sich circa fünf Prozent aller Fehler als Schwachstellen nutzen“, heißt es in dem betreffenden Artikel des Digital Engineering Magazins.

„76 Prozent der Anwendungen weisen mindestens eine Schwachstelle auf, die Hälfte davon ist sechs Monate nach der Entdeckung immer noch offen“, schreibt IT-Business im einem am  8. Juli 2021 veröffentlichten Online-Artikel unter der Überschrift „Application Security as a Service – Sichere Anwendungen als Dienst am Kunden“  (9) Das Magazin bezieht sich dabei auf den 11. State of Software Security Report von Veracode, der sehr deutlich zeige, dass Applikationssicherheit weiterhin lückenhaft sei. Mit Verweis auf das Gesundheitswesen heißt es in dem Artikel weiter: „Krankenhäuser und Gesundheitssysteme werden von Cyberkriminellen als weiche Ziele angesehen, da sie oft nicht über das Budget oder das Personal verfügen, um sich vor Angriffen zu schützen“, sagte der Chief Technology Officer von Veracode, Chris Wysopal. Im Jahr 2020 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen auf 7,1 Millionen US-Dollar, etwa das Doppelte wie in anderen Sektoren.

Wie einfach Cyber-Kriminelle die zahlreichen Schwachstellen komplexer und häufig auch veralteter IT-Systeme für Angriffe ausnutzen können, zeigt auch ein drastischer Fall, über den Deutschlands älteste IT-Fachzeitschrift – die ‚funkschau’ – Anfang 2018 unter der Überschrift „Unternehmenssoftware – Unterschätzte ERP-Sicherheit“ berichtete: Danach hatten Hacker das ERP-System eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren.(10)

Dieses Beispiel verdeutlicht dass solche technologischen Altlasten zunehmend zu tickenden Zeitbombe in Punkto IT-Sicherheit werden. „Kritisch wird es, wenn das komplette Programm oder bestimmte Features nicht mehr unterstützt werden. Dann entfallen sowohl Support bei möglichen Störungen als auch die wichtigen Sicherheitsupdates“, warnt die ‚funkschau’.

Weniger Programmzeilen = weniger Fehler = höhere Sicherheit

Wenn Software-Code jedoch kaum noch manuell programmiert werden muss, reduzieren sich Programmierfehler und damit verbundene Sicherheitslücken, die für mögliche Cyber-Attacken ausgenutzt werden können, auch signifikant. Im Vergleich zur traditionellen Programmierung ist ‚Low Code Development’ deshalb die adäquate und auch bessere Methode – nicht nur aus wirtschaftlichen Gründen, sondern auch im Sinne von „Security by Design“, denn eine so entwickelte Software besteht per se schon aus deutlich weniger Programmzeilen und damit automatisch auch aus weniger Sicherheitslücken.

Wie groß der Unterschied zwischen der traditionellen Programmierung einerseits und einer Modellierung per Low Code andererseits ausfallen kann, verdeutlicht ein Beispiel, über das die Frankfurter Allgemeine Zeitung am 24. April 2021 unter der Überschrift „Wenn sich Computer programmieren“ berichtete.(11)  Darin zitiert die F.A.Z. den Leiter des Machine-Programming-Research-Teams (MPR) von Intel, Justin Gottschlich. Nach dessen Angaben bestand der traditionell entwickelte Sprachübersetzer Google Translate ursprünglich aus 500.000 Zeilen Programmcode, während eine per ‚Machine-Programming’ erstellte neue Version dagegen nur noch 500 Code-Zeilen umfassen würde. Die Anzahl der Programmzeilen der Google-Software wurde also nicht nur um den Faktor 1000 geschrumpft, sondern die Genauigkeit des Systems hätte sich auch noch verbessert, erläutert der IT-Experte Gottschlich.

Für die Code- und damit Produktqualität einer per Low Code modellierten Software spielt natürlich das Sicherheitsniveau des dafür verwendeten und eingesetzten Entwicklungswerkzeugs eine ganz wichtige Rolle. Unter den Anbietern von Low Code-Werkzeugen für das Segment der großen, so genannten Enterprise-Systeme ist die niederländische Thinkwise Software (www.thinkwisesoftware.com/de) technologisch führend. Das Unternehmen ist nach eigenen Angaben weltweit der einzige Anbieter einer Low-Code-Software-Plattform, mit der Business-Software auf dem Komplexitätslevel eines ERP-Systems entwickelt (modelliert) werden kann. Die Technologie ermöglicht es Unternehmen und Entwicklern, unternehmenskritische Systeme aufzubauen, mit denen vorhandene komplexe Altsysteme (Legacy-Systeme) ersetzt bzw. abgelöst werden können. Wesentlicher Bestandteil der Technologie sind leistungsfähige visuelle Entwicklungswerkzeuge zur Modellierung von Software, die eine zeit- und kostensparende Alternative zum klassischen Programmieren darstellen. „Damit ist unsere Plattform eine leistungsfähige und effiziente Entwicklungsumgebung mit einem breiten Funktionsumfang für den kompletten Lebenszyklus einer Software – vom Prototyping und der Modellierung über die Qualitätssicherung und Tests bis hin zum Monitoring der produktiven Anwendung“, erläutert Victor Klaren, der Thinkwise Software vor 20 Jahren mitgegründet hat.

Der Software-Anbieter unterzog seine Low Code-Modellierungsplattform im Jahr 2020 einem intensiven Penetrationstest, der durch eine Reihe von Audits ergänzt wurde, in der in Interviewform Fragen zu Sicherheitskontrollen sowie zur sicheren Konfiguration und Entwicklung evaluiert wurden. Dabei wurden diese Themen abgedeckt beziehungsweise behandelt:

• Sicheres Design und Architektur (sowohl auf Netzwerk- als auch auf Anwendungsebene)
• Sichere Software-Entwicklung (SAST, DAST, Bedrohungsmodellierung usw.)
• IT-Sicherheitskontrollen: Autorisierung, Authentifizierung, Passwortverwaltung
• Sicherheitskontrollen: Sichere Kommunikation und Verschlüsselung;
• Datenschutz im Ruhezustand
• IT-Sicherheitskontrollen: Zugriffskontrolle / Standardverweigerung

Weder der Penetrationstest der Plattformsoftware von Thinkwise noch die Audits ergaben irgendwelche Sicherheitsbedenken. Die vollständigen Ergebnisse dieser Audits können in einem (englischen) pdf-Dokument unter >> https://kurzelinks.de/rgcs heruntergeladen werden. Und bei den zahlreichen IT-Anwendungen, die mit der Plattform der Niederländer schon modelliert wurden, kam es bisher auch zu keinen relevanten Sicherheitsvorfällen versichert Victor Klaren.

Autor: Detlev Spierling (www.spierling.de)

­­­­­­­­­­­­

• https://www.welt.de/politik/deutschland/article232275409/Cyberattacken-auf-Unternehmen-Zahl-so-hoch-wie-nie-zuvor.html
• https://www.faz.net/aktuell/wirtschaft/cyberattacke-auf-us-unternehmen-hacker-fordern-70-millionen-dollar-17423114.html
• https://www.it-daily.net/shortnews/29385-revil-ransomware-angriff-ueber-msp-lieferkette-von-kaseya-vsa
• https://www.gfm-nachrichten.de/news/coop-geschlossen-wegen-hackerangriff
• https://de.tenable.com/cyber-exposure/2020-threat-landscape-retrospective | thehindubusinessline.com/info-tech/over-22-billion-records-exposed-worldwide-in-2020-report/article33579108.ece
• https://www.springerprofessional.de/transformierbare-it-landschaften-it-architekturen-sind-standardi/10697424
• https://www.faz.net/aktuell/wirtschaft/digitec/erster-cyber-katastrophenfall-in-deutschland-landkreis-liegt-lahm-17431739.html?utm_source=pocket-newtab-global-de-DE
• digital-engineering-magazin.de/cyberangriff-auf-yachten-digitale-piraterie-verhindern

(https://kurzelinks.de/nv9e)

• it-business.de/sichere-anwendungen-als-dienst-am-kunden-a-1036592
• funkschau.de/office-kommunikation/unterschaetzte-erp-sicherheit.149286.html
• faz.net/aktuell/wirtschaft/wenn-sich-computer-selbst-programmieren-17309117.html

Erklärung:

„Privacy by Design“ / „Security by Design“

Eine der entscheidenden gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO / englisch ‚General Data Protection Regulation’ – GDPR), die seit dem 25. Mai 2018 in der gesamten EU gilt, ist die Berücksichtigung des Datenschutzes bereits bei der Produktentwicklung. „Privacy by Design“ (1) oder auch „Security by Design“ ist der Fachbegriff hierfür.

„Die „Security by Design“-Prinzipien sind in den gesamten Produktlebenszyklus zu integrieren – von der ersten Idee bis zum Erreichen des „End-of-Life“ eines Produktes. In der Umsetzungsverantwortung stehen alle am Produkt beteiligten Unternehmensbereiche, wie beispielsweise Produktmanagement, Entwicklung, Beschaffung, Fertigung, Vertrieb, Logistik, Service sowie die IT-Sicherheits- und Datenschutzverantwortlichen“, erläutert der Bundesverband IT-Sicherheit e.V. (TeleTrusT) – ein Kompetenznetzwerk mit in- und ausländischen Mitgliedern aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen.(2)

(1)            https://deinedatendeinerechte.de/glossary/datenschutz-durch-technikgestaltung

(2)            www.teletrust.de/publikationen/broschueren/security-by-design