Der neueste Lagebericht des BSI zur Bedrohung im IT-Bereich (pardon: Cyber!) offenbart wenige erstaunliche Entwicklungen.
Das soll nicht suggerieren, die Lage wäre gut.
Ransomware ist nach wie vor das Schreckgespenst von Organisationen aller Art und Größe, gleich ob Mittelständler oder Gemeindeverwaltung (übrigens: zu letzterem lohnt sich ein Blick auf https://kommunaler-notbetrieb.de ). Haupt-Einfallstor ist immer noch E-Mail.
Eine erstaunliche Erkenntnis betraf die Schwachstellen in Software, zu denen das BSI schreibt:
„Das BSI registriert immer mehr Schwachstellen in Software. Diese Schwachstellen sind oft das Einfallstor für Cyberkriminelle auf ihrem Weg zu einer Kompromittierung von Systemen und Netzwerken. Das BSI hat mit durchschnittlich knapp 70 neuen Schwachstellen in Software-Produkten pro Tag nicht nur rund ein Viertel mehr registriert als im Berichtszeitraum davor. Mit der Anzahl stieg auch ihre potenzielle Schadwirkung: Immer mehr Lücken (etwa jede sechste) werden als kritisch eingestuft.“
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Dies ist deshalb so erstaunlich, weil seit Jahren viel Energie investiert wurde, um im Sektor der Softwareentwicklung eine Trendumkehr zu bewirken.
Was ist aus den Entwicklungsrichtlinien geworden, mit all ihren Vorgaben zu Coding Standards, Security by Design, Secure Defaults, Code Reviews, Penetrationstests und so fort?
Allen Entwicklungsleitern, die sich hier verblüfft die Augen reiben, sei ein Blick in die ISO 27002:2024 (DE) empfohlen, speziell die Kapitel
- Zugriff auf den Quellcode
- Lebenszyklus einer sicheren Entwicklung
- Anforderungen an die Anwendungssicherheit
- Sichere Systemarchitektur und Entwicklungsgrundsätze
- Sichere Codierung
- Sicherheitsprüfung bei Entwicklung und Abnahme
- Ausgegliederte Entwicklung
- Trennung von Entwicklungs-, Test- und Produktionsumgebungen
- Testdaten
(Inhaltsverzeichnis zu finden beim Beuth-Verlag )
Die Norm bietet eine Fülle aktueller und praxisnaher Umsetzungshinweise!
Weitere unerwünschte Abwechslung brachte der Krieg in die Ukraine in die Bedrohungslage, dort konnten kriminelle Aktivitäten von pro-russischer Seite beobachtet werden.
Das BSI liefert eine Übersichtsgrafik, die die Ergebnisse des Lageberichts gut zusammenfasst:
Hier finden Sie den gesamten Bericht:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html?nn=129410