Unser CI-Team berichtet vom Besuch der // heise devSec() 2019 in Heidelberg.
Es ist ein grauer Morgen in Heidelberg, als das fünfköpfige CI-Team am ersten Tag der // heise devSec() zu den Workshops bei der Print Media Academy eintrifft. Da einer der vier Workshops kurzfristig ausgefallen ist, müssen sich die Teilnehmer auf die anderen drei Workshops verteilen.
Die eigentliche Konferenz ging am Tag nach den Workshops mit der spannenden KeyNote: „Informationssicherheitsrisiken von vernetzten Fahrzeugen“, los. Fazit: Ungewöhnlich tiefe Einblicke in eine ansonsten sehr verschlossene Industrie. Um den Redner zu zitieren: „Ich habe mal alle Logos der Hersteller weggemacht, sonst rennen die uns die Bude mit ihren Anwälten ein“.
Die anschließende Kaffeepause wurde für eine kurze Begrüßung unserer Kollegen von n-design genutzt. Mit n-design verbindet uns eine langjährige Firmenfreundschaft.
Interessant ist die // heise devSec() vor allem auch aufgrund ihrer Bandbreite. Von prozessgetriebenen Themen über sehr entwicklungsnahe Themen, von Vorgehensmodellen zum Absichern der eigenen Anwendung bis hin zu Einblicken, wie Schutzmechanismen zu überwinden sind.
Kim Hartmann empfiehlt in ihrem Vortrag, einen Security Champion (in Ihren Worten: einen Security Manager) ins Entwicklungsteam zu integrieren. Denn Sicherheit muss während des Entwicklungsprozesses kontinuierlich berücksichtigt werden und nicht als „Security Sandwich“ vor und nach der Entwicklung angesetzt werden. Damit spricht sie genau das an, was wir durch unseren Security Champion anbieten.
Generell konnte man in allen Vorträgen die Betonung für die Sensibilisierung der Entwickler in Sachen Sicherheit aber auch die Notwendigkeit eines Security Experten in einem Entwicklerteam erkennen. Das bestätigt uns darin, dass CI mit ihrem Webapplication Security-Angebot die richtige Richtung eingeschlagen hat.
Ganz anders wurde das aber am Tag 3 mit der Keynote: „Developers are not the Enemy! – On usability issues for secure software development“ dargestellt. Der Redner von der Uni-Bonn stellte seine Studie vor, in der man „herausgefunden“ habe, dass „Softwareentwickler, die keine Ahnung von Sicherheit haben, auch keine sichere Software programmieren können“ - wie Bruce Schneier die Studie so schön zusammenfasst. Die Forschung des Redners ging in die Richtung, dass man mehr und mehr automatisieren solle, um den Entwicklern die „Last“ der Sicherheit abzunehmen. Aus unserer Sicht ist dies der falsche Ansatz und der falsche Weg.
Wir meinen: Um IT Security effektiv umzusetzen, braucht es fokussierte Spezialisten. Es braucht konkrete Anforderungen und Vorgehensweisen, Technologien und Konzepte. Diese Sichtweise ist spürbar auf dem Vormarsch: Strukturierte Herangehensweisen an konzeptionelle IT-Security und Security-by-Design, wie von CI als Beratungsleistung angeboten, erfreuen sich zunehmender Verbreitung. Die Frameworks werden besser und bieten starke Sicherheitsmaßnahmen, trotzdem werden sie oftmals nicht oder nicht korrekt verwendet. Security out-of-the-box gibt es weiterhin nicht.
Diese Meinung hatten glücklicher Weise auch andere Teilnehmer der Konferenz, wie wir in der Kaffeepause nach dem Vortrag erfahren durften.
Ebenfalls eine sehr positive Erfahrung ist, dass auch auf einer Security-Konferenz in Heidelberg der regionale Fokus gewahrt bleibt. Dank unserer eigens für die Konferenz gedruckten T-Shirts hatten wir viele Gespräche, die mit: „Ach, ihr kommt auch aus Köln?“ begonnen haben. Netter Nebeneffekt: Die Kollegen waren in der Masse leichter wiederzufinden.