Generic filters
FS Logoi

Softwaresicherheit: Bitkom veröffentlicht Leitfaden

Software und softarebasierte Produkte werden durch die Digitalisierungsprozesse in Wirtschaft und Gesellschaft zunehmend allgegenwärtig. Neben den damit verbundenen Möglichkeiten und Chancen gilt es aber auch Gefahren und Bedrohungsszenarien zu berücksichtigen. Darauf weist der Digitalverband Bitkom in seinem neuen Leitfaden „Zur Sicherheit softwarebasierter Produkte“ hin.

von | 16.11.20

Bitkom veröffentlicht Leitfaden mit 7 Fragen zur Sicherheit von softwarebasierten Produkten.

Über grundlegende Fragen beleuchtet der Leitfaden ausführlich das Thema Sicherheit in der Herstellung und Verwendung von Software. „Gut funktionierende, sichere Software ist die entscheidende Komponente für die künftige Wertschöpfung in Unternehmen“, sagt Bitkom-Experte Dr. Frank Termer. Umso wichtiger sei es, ein allgemeines Verständnis für Softwaresicherheit zu etablieren, das über die Fach-Community hinausgehe. „Dazu soll der Leitfaden einen Beitrag leisten“, so Termer. Vor allem die folgenden sieben Leitfragen gilt es aus Bitkom-Sicht allgemeinverständlich zu beantworten:

  1. Wie wird Software hergestellt?
    An der Entwicklung von Software sind in der Regel viele Personen beteiligt. Zunächst müssen Anforderungen an eine digitale Lösung oder ein zu entwickelndes IT-System eingeholt werden. Anschließend wird die Architektur der Software geplant. Aber nur in wenigen Fällen müssen Entwickler einen Code komplett neu schreiben. Oft können sie auf Code-Bibliotheken zurückgreifen oder sich an Open-Source-Software bedienen. Software enthält daher oft Versatzstücke aus anderer Software und wird für den speziellen Gebrauch angepasst und weiterentwickelt. Vor der Veröffentlichung wird Software idealerweise einem Stresstest unterzogen und mit Kunden unter realen Bedingungen getestet. Auch nach der Veröffentlichung muss die Software regelmäßig überarbeitet werden.
  2. Warum müssen so häufig Software-Updates durchgeführt werden?
    Software muss regelmäßig angepasst werden, um den Nutzern ein bestmögliches Produkt anzubieten. Daher braucht es regelmäßige Updates. In der Regel handelt es sich dabei um funktionale Updates. Diese werden zum Beispiel notwendig, wenn Service-Wartungen durchgeführt werden, oder wenn die Hersteller neue Funktionen der Software veröffentlichen. Gelegentlich werden auch Sicherheits-Updates durchgeführt, um auf neue Sicherheitslücken in der Software zu reagieren.
  3. Warum ist Software nie ganz fehlerfrei?
    Moderne Methoden und Werkzeuge zur Softwareentwicklung reduzieren die möglichen Fehlerquellen. Solange Software jedoch von Menschen erstellt wird, lassen sich Fehler nicht grundsätzlich ausschließen. Umfang und Komplexität moderner Software verhindern, dass solche Fehler vollständig durch analytische Verfahren, beispielsweise Tests, mit einem vertretbaren Aufwand gefunden und vor Nutzung der Software beseitigt werden können.
  4. Wie gewährleisten Hersteller trotzdem eine hohe Software-Qualität?
    Softwareentwickelnde Unternehmen erreichen eine möglichst umfassende Qualität im Entwicklungsprozess durch „Security by Default“ und „Security by Design.“ Dabei sind drei Aspekte essenziell: Erstens, entsprechende Sicherheitswerkzeuge sollten in die eigentlichen Software-Entwicklung integrieret werden. Zweitens, Sicherheit sollte als eine allgemeingültige Code-Kultur in den beteiligten Bereichen der Softwareentwicklung verankert werden. Drittens, die Teamorganisation. Statt einzelne Teams in Silos nebeneinander zu stellen, sollte ein gesamtheitliches cross-funktionales Team geschaffen werden, das die drei Komponenten Entwicklung, Betrieb und Sicherheit gemeinsam vorantreiben kann und einen offenen Umgang mit Wissen pflegt.
  5. Was passiert, wenn Software-Fehler zu Schäden führen?
    Wenn Software-Fehler auftreten, können Hersteller auch bei fehlenden Vertragsbeziehungen nach den Grundsätzen der Produkt- und der Produzentenhaftung haftbar gemacht werden. Allerdings haftet der Hersteller in diesen Fällen nur, wenn ein Software-Fehler Schäden an jenen Rechtsgütern verursacht hat, die laut Rechtsordnung einen besonderen Wert aufweisen, etwa Gesundheit oder Eigentum. Um die Haftung zu vermeiden, muss der Hersteller die aus dem Software-Fehler resultierende Gefahr beseitigen. Allgemeingültige Grundsätze lassen sich hierfür aber kaum aufstellen.
  6. Woran können Nutzer „sichere“ Software erkennen?
    Ein eindeutiger Beweis für sichere Software lässt sich nie liefern. Anerkannte Zertifikate können jedoch ein Indikator für qualitativ hochwertige Software sein. Es ist aber nicht auszuschließen, dass Software trotz Zertifikaten nach wie vor Fehler und Sicherheitsmängel aufweist. Ein weiterer Indikator für qualitativ hochwertige Software ist, wenn in den einschlägigen Datenbanken für Sicherheitsschwachstellen keine Einträge zur jeweiligen Software vorhanden sind. Dazu zählen die Datenbanken OWASP, CWE, NVD, CAPEC, CVE, VDBs. Zudem sollte Software immer über vertrauenswürdige Lieferanten eingekauft werden.
  7. Was können Nutzer tun, um den Einsatz von Software sicherer zu machen?
    Eine elementare Voraussetzung für den sicheren Einsatz ist, dass die gesamte Technik dem aktuellen Stand der Entwicklung entspricht. Jedes nicht installierte Update stellt ein Risiko dar, wenn dadurch eine bekannte Sicherheitslücke offen bleibt. Dabei ist die Aktualisierung der einzelnen Komponenten kein einmaliger Vorgang, sondern ein fortwährender Prozess. Unerlaubte Zugriffe oder Missbrauch können besser vermieden werden, wenn Nutzer ihre Programme an die eigene Arbeitsweise anpassen.

Der vollständige Bitkom-Leitfaden „Zur Sicherheit softwarebasierter Produkte“ ist zum kostenlosen Download hier verfügbar.

Bildquelle, falls nicht im Bild oben angegeben:

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

26. VDI-Kongress AUTOMATION diskutiert Technologie-Trends
26. VDI-Kongress AUTOMATION diskutiert Technologie-Trends

Erkenntnisse, die im vergangenen Monat noch aktuell waren, sind heute bereits wieder überholt: Die Geschwindigkeit, mit der Generative Künstliche Intelligenz sich weiterentwickelt und Prozesse verändert, beeindruckt auch die Fachwelt der Mess- und Automatisierungstechnik. Auf dem 26. VDI-Kongress AUTOMATION am 1. und 2. Juli in Baden-Baden diskutierte die Community über Technologie-Trends, Transformationen und Perspektiven einer „Human-centric Automation“.

mehr lesen
Holzwespe verhilft Oliver Schwarz zum Award
Holzwespe verhilft Oliver Schwarz zum Award

Das Projekt „KMUmanoid” des Fraunhofer IPA zielt darauf ab, den Einsatz humanoider Roboter im Mittelstand zu fördern. Trotz der Fortschritte in der Entwicklung humanoider Roboter und ersten Praxistests in großen Firmen haben kleine und mittlere Unternehmen (KMU) bisher kaum Zugang zu diesen Technologien.

mehr lesen
VDI-Studie: Generative KI verändert das Ingenieurwesen
VDI-Studie: Generative KI verändert das Ingenieurwesen

Generative KI hält zunehmend Einzug in das Ingenieurwesen – mit spürbaren Auswirkungen auf Arbeitsprozesse, Rollenbilder und Ausbildung. Der Verein Deutscher Ingenieure (VDI) hat im Rahmen einer aktuellen Studie Potenziale und Risiken beleuchtet und konkrete Handlungsempfehlungen formuliert.

mehr lesen
Digitaltag: Digitale Demokratie im Fokus
Digitaltag: Digitale Demokratie im Fokus

Mehr als 2.500 Aktionen und über 5.000 Stunden Programm: Zum sechsten Mal hat der Digitaltag Menschen in ganz Deutschland für digitale Themen begeistert und einen zentralen Beitrag zur Förderung digitaler Teilhabe geleistet. Ein besonderer Fokus lag dieses Jahr auf dem Thema Digitale Demokratie. In zahlreichen Aktionen wurden Angebote zur digitalen Bürgerbeteiligung vorgestellt und über den Umgang mit Risiken wie Hassrede und Fake News diskutiert.

mehr lesen
Daniel Hager als ZVEI-Präsident elect nominiert
Daniel Hager als ZVEI-Präsident elect nominiert

Der ZVEI-Vorstand hat Daniel Hager (53), Vorsitzender des Aufsichtsrats der Hager Group, als ZVEI-Präsident elect nominiert. Er soll im Rahmen der Mitgliederversammlung am 20. Mai 2026 satzungs- und turnusgemäß gewählt werden und die Nachfolge von ZVEI-Präsident Dr. Gunther Kegel übernehmen, der das Amt seit 2020 ausübt.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Finance Illustration 03