Whitepaper: Wie Hersteller ihre Software sicherer machen können

(cafm-news) – Bei IT-Sicherheit richtet sich der Blick zumeist auf die Nutzer und ihre implementierten Lösungen: Virenscanner, Root-kit-Hunter, Firewalls… – die Liste ist lang und per se unvollständig. Das zumindest meint HP und liefert in einem Whitepaper sieben Punkte, auf die Hersteller achten sollten.

Hewlett Packard ist eher in der Hardware zu Hause: Drucker, Scanner, Notebooks, Tablets und Server sind das Geschäft der Amerikaner. Eigene Software bieten sie nur im Verbund mit Ihren Geräten an. So überrascht es schon ein wenig, dass sich gerade der Druckerkönig mit einer Tippliste für sichere Software engagiert. Auf acht Seiten stellen die Amerikaner vor, was in ihren Augen nötig ist, damit Software-Hersteller möglichst wenig Sicherheits-Risiko verkaufen. Die Punkte sind:

1. Zuerst sollte der Anbieter den Sicherheitsstandard des aktuellen Codes prüfen und einen Plan aufstellen, wie dieser und sein Entwicklungsprozess verbessert werden können.
2. Anschließend gilt es zu prüfen, welche Sicherheitsrisiken die angebotene Software haben könnte und sie hiergegen abzusichern, bevor die Software in den Markt kommt.
3. Zusätzlich sollte der Anbieter einen Mechanismus implementieren, der verhindert, dass Software mit Schwachstellen in die Produktion kommt.
4. Software muss auf Schwachstellen im Code überprüft werden, die während der Entwicklung entstanden sind.
5. Jede Applikation muss zusätzlich zu einem Funktionstest auch einem Sicherheits- und Vunerabilitytest unterzogen werden.
6. Die Erfolge der Sicherheits-Maßnahmen sollten kontinuierlich gemessen und verbessert werden.
7. Schließlich sollten Anwender und andere Stakeholder über Sicherheit informiert werden, damit sie ihrerseits einen Sicherheitsplan einführen können.

Das Whitepaper vertieft die Tipps und nennt Wege, wie die Sicherheit von Applikationen leichter verbessert werden kann und wie ein stetiger Verbesserungs-Prozess funktioniert. Flankiert von Best Practices schafft es einen Ansatzpunkt, das Thema genauer unter die Lupe zu nehmen. Es steht als PDF zum Download zur Verfügung.

Blieben nur zwei Fragen offen: Haben professionelle Software-Entwickler das achtseitige Whitepaper eines Hardware-Spezialisten nötig, um ihren Code sicher zu machen? Und was hat sich neben dem Layout noch an dem Papier geändert, das HP auf der hauseignen Plattform HP Enterprise Security bereits 2011 veröffentlicht hat?

Abbildungen: HP