Ein mutiger Schritt nach vorn, um Software-Anbieter zur Entwicklung sicherer Lösungen zu motivieren
Einer der kühnsten Vorschläge der neuen Nationalen Cybersicherheitsstrategie der Biden-Administration besteht darin, die Marktkräfte so zu gestalten, dass sie die Sicherheit und Widerstandsfähigkeit vorantreiben. Dazu gehört auch das Ziel, neue Gesetze zu entwickeln, die die Haftung von den Endnutzern auf die Unternehmen verlagern, die unsichere Softwareprodukte und -dienstleistungen herstellen.
Da unser Forschungsteam bei Onapsis in den letzten zehn Jahren mehr als 1.000 Zero-Day-Schwachstellen in geschäftskritischer Anwendungssoftware entdeckt und beseitigt hat, haben wir eine einzigartige Perspektive auf Initiativen wie diese. Unser Team kennt den historischen und aktuellen Stand der Cybersicherheit in weit verbreiteter kommerzieller Software und kann daher die Vor- und Nachteile dieses strategischen Ziels einschätzen.
Durch unsere Erfahrung in der Bedrohungsforschung wissen wir aus erster Hand, dass viele führende Anbieter von Unternehmenssoftware in den letzten zehn Jahren erhebliche Investitionen getätigt haben, um ihre sicheren Entwicklungsprozesse und -funktionen zu verbessern. Dies hat dazu geführt, dass neue Lösungen auf den Markt gekommen sind, die von Haus aus sicherer sind und standardmäßig über stärkere Sicherheitskonfigurationen verfügen. Bei der Durchführung fortgeschrittener Schwachstellenanalysen für diese neuen Produkte haben wir empirisch festgestellt, dass viele der „niedrig hängenden Früchte“, die in früheren Versionen erfolgreich waren, in neueren Versionen kontrolliert oder entschärft wurden. Dies ist ein klares Indiz dafür, dass viele Softwareanbieter sich in die richtige Richtung verbessern.
Die Zahl der neuen Schwachstellen, die laufend entdeckt und von Bedrohungsakteuren ausgenutzt werden, kann jedoch nicht ignoriert werden und ist ein klarer Beweis dafür, dass wir der Lösung dieses Problems nicht näher gekommen sind. Darüber hinaus stützen die Daten auch die Behauptung der Verwaltung, dass sich die historischen und aktuellen Marktkräfte als ineffizient erwiesen haben, um diese Realität zu ändern. Es ist häufig der Fall, dass die finanziellen Verluste, die durch Sicherheitsverletzungen und Sicherheitsmängel in Produkten entstehen, für den Softwareanbieter unerheblich sind, für die Nutzer des anfälligen Produkts oder Dienstes jedoch katastrophale Folgen haben können.
Wenn wir insbesondere an ERP- und Geschäftsanwendungen denken, wird diese Herausforderung drastisch verschärft, da diese Softwareanwendungen als wesentlicher digitaler Kern für die weltweit größten Unternehmen und Organisationen in kritischen Infrastruktursektoren wie Energie- und Versorgungswirtschaft, Fertigung und Pharmazie dienen und ihre wichtigsten Prozesse und Informationen unterstützen. In diesen Szenarien ist die Sicherheit einer Softwarelösung nicht nur für den einzelnen Benutzer oder das einzelne Unternehmen von Bedeutung – aufgrund der Spezialisierung dieser Softwareprodukte gibt es einen hohen Grad an Konzentration bei den Benutzern, die sich für geschäftskritische Anwendungsfälle auf dieselben (oder wenige) kommerziellen Softwareprodukte verlassen, was zu einem systemischen Risiko auf nationaler und globaler Ebene führen kann, wenn böswillige Bedrohungsakteure Schwachstellen in diesen Produkten entdecken und ausnutzen.
Wie können wir – die Verteidiger – bei diesem ständigen Katz-und-Maus-Spiel zwischen Verteidigern und Bedrohungsakteuren gewinnen? Ich stimme mit mehreren Experten überein, dass es eine große Herausforderung sein wird, sicherzustellen, dass die Rechtsvorschriften anpassungsfähig genug sind, um diese Dynamik ganzheitlich zu erfassen, ohne die Innovation zu ersticken. Doch was ist die Alternative? Die Software- und Cybersicherheitsbranche als Ganzes muss anerkennen, dass die kommerzielle Softwaresicherheit nicht besser wird, wenn wir unseren Ansatz nicht radikal ändern und die Anreize nicht neu ausrichten. Unsere Branche hat schon vieles ausprobiert, von Konsortien über Forscher, die auf Konferenzen ungepatchte Zero-Day-Schwachstellen veröffentlichen, bis hin zu Softwareanbietern, die sich gegenseitig öffentlich unter Druck setzen, um schneller Patches zu erstellen.
Leider haben diese Versuche die eigentliche Ursache des Problems nicht beseitigt: Die Unternehmen müssen mehr dafür tun, dass ihre Software sicher ist. Vor dieser neuen Strategie gab es für die meisten Softwarehersteller nicht genug Vorteile, um proaktiv zu investieren und Fähigkeiten auf dem erforderlichen Niveau aufzubauen, um dieses Problem zu lösen, und der Nachteil, dies nicht zu tun, ist für ihre Gewinne unerheblich.
Wir sind als Gesellschaft zu sehr von kommerzieller Software abhängig, als dass wir weiterhin hoffen könnten, dass sich die Dinge auf magische Weise verbessern werden. Wie das alte Sprichwort sagt: Hoffnung ist keine Strategie.
Die Messlatte und die Erwartungen an die Sorgfaltspflicht höher zu legen und gleichzeitig die Anbieter, die dies effektiv tun, zu belohnen und vor Haftung zu schützen, ist ein willkommener Schritt, um zu diskutieren, wie wir die Anreize im Software-Ökosystem neu ausrichten und eine sicherere Zukunft für uns alle schaffen können. Wir bei Onapsis planen, uns weiterhin aktiv an dieser Strategie zu beteiligen, wenn sie umgesetzt wird, und unseren Beitrag zur Schaffung einer besseren Zukunft zu leisten.