Home » Technologie » Software » Softwareauswahl: ein Risiko für Unvorsichtige

Softwareauswahl: ein Risiko für Unvorsichtige

Tech Page One

Main article image_Software selection creates risk for the unwary RESIZED

 

Unternehmen sind sich sehr wohl der Risiken beim Einsatz kostenloser oder Open-Source-Software bewusst. Dass auch kommerzielle Anwendungen bekannter Hersteller Schwachstellen haben, ist hingegen für viele überraschend.

„Sowohl kommerzielle als auch Open-Source-Software hat Fehler“, erklärt Vik Mehta, Chief Operations Officer bei VastEdge Inc., einem IT-Lösungsanbieter mit Sitz in SanFrancisco.

Seiner Meinung nach liegt der Unterschied darin, dass Entwickler kommerzieller Software aufgrund ihrer größeren und diversifizierteren Benutzerbasis Probleme tendenziell schneller beheben als die Entwickler von Open-Source-Software. Er empfiehlt daher, dass Unternehmen das Thema Sicherheit beim Einkauf von Software erheblich differenzierter angehen sollten.

Sonia Cuff ist Direktorin von Computer Troubleshooters Aspley mit Sitz in Australien und berät kleine und mittlere Unternehmen in Technologiefragen. Auch sie ist der Meinung, dass sich Unternehmen nicht auf die Sicherheit ihrer kommerziellen Software verlassen sollten.

„Alle großen Softwareanbieter veröffentlichen Sicherheits-Patches für ihre Produkte. Das zeigt, dass ihre Lösungen nicht unverwundbar sind“, betont sie. „In einem Testlabor lässt sich nur eine begrenzte Anzahl von Szenarien simulieren. Zudem wird die Software nach der Veröffentlichung zum Ziel von Hackern, die jeden übersehenen Fehler zu finden versuchen.“

Risikobewertung und Softwareauswahl

Senior man playing chessWenn jede Software Fehler aufweist und Bedrohungen nicht nur omnipräsent sind, sondern sich auch kontinuierlich weiterentwickeln – wie können Unternehmen dann die für sie beste Option finden?

Experten empfehlen jedem Unternehmen, potenziell geeignete Software im Vorfeld zu evaluieren. Die Kosten sollten dabei lediglich einer unter vielen zu analysierenden Aspekten sein.

„Die Kosten sind mehr als das, was auf dem Preisschild steht“, erklärt Mehta. „Kalkulieren Sie alles sorgfältig durch und ermitteln Sie die Gesamtbetriebskosten für einen Zeitraum von mindestens drei Jahren.“

Abhängig vom Softwaretyp sollten seiner Meinung nach folgende weitere Evaluierungskriterien herangezogen werden:

Datensicherheit

Implementierungskosten

Support-Optionen und -Verfügbarkeit (Je höher die Support-Verfügbarkeit, desto besser.)

Kompatibilität mit der Branche und den Prozessen des Unternehmens

Eigenschaften und Funktionen

Berechtigungsverwaltung auf Basis der Rolle im Unternehmen

Skalierbarkeit und Redundanz

Interoperabilität mit anderer Software

Cloud-Integration

Hardware- und Betriebssystemkompatibilität

Laut Cuff ist es unbedingt notwendig, dass Unternehmen jedwedes mitgeliefertes Dokumentationsmaterial durchsehen. Nur so lässt sich sicherstellen, dass die Software entsprechend den Empfehlungen des Entwicklers installiert und konfiguriert wurde. Zudem muss ihrer Ansicht nach im Anschluss an die Installation geprüft werden, wie die Software mit Workstations, Netzwerken, dem Internet oder der Cloud interagiert. Darüber hinaus empfiehlt sie Unternehmen, zu protokollieren, welche Unternehmens- oder Benutzerdaten von der Software gespeichert werden, und die Sicherheit aller Berechtigungen für den Remote-Zugriff zu überprüfen.

Patches als Notwendigkeit

Die Mehrheit der Softwareentwickler integriert zumindest grundlegende Sicherheitsfunktionen in ihre Programme. Die dauerhafte Gewährleistung der Sicherheit unter Realbedingungen kann jedoch schwierig sein, da die Hardware- und Softwareinfrastrukturen der Benutzer sich von Unternehmen zu Unternehmen unterscheiden und sich im Laufe der Zeit verändern. Komponenten und Pakete kommen hinzu oder werden entfernt.

„Sicherer Code sollte schon von Beginn an der Anspruch sein, doch sowohl die Software als auch die zugrunde liegende Infrastruktur sind heute komplexer als je zuvor“, erklärt Cuff. „Entwickler sollten im Code ihrer Software die Bedrohungen berücksichtigen, die sie kennen. Um jedoch alle Fehler auszumerzen, sind Tests unter Realbedingungen und die Einbeziehung der Hacker-Community nötig.“

Wenn die verbliebenen Fehler oder Schwachstellen aufgedeckt werden, müssen Updates eingespielt werden, um sie zu beheben. Für Experten sind diese Updates ein normaler Bestandteil des fortlaufenden Produkt-Supports.

„Ich denke, dass wir immer Patches und Updates brauchen werden“, so Cuff. „Glücklicherweise ist dieser Prozess mittlerweile weitgehend automatisiert. Computerbenutzer und Systemadministratoren können das heute einfach und schnell erledigen.“

Die Geschwindigkeit, mit der kommerzielle Softwareanbieter Patches entwickeln und veröffentlichen, ist in ihrem Geschäftsmodell begründet: Verkäufe führen zu Umsätzen, durch die wiederum fortlaufende Produktanalysen, Fehlerbehebungen sowie Weiterentwicklungen finanziert werden. Open-Source-Software „generiert nicht den Umsatz, der für Support auf Unternehmensniveau nötig ist“, führt Vik Mehta von VastEdge aus.

Benutzerfreundlichkeit ohne Sicherheitskompromisse

Laut Cuff gibt es bei kommerziellen Softwareanbietern in puncto Sicherheit noch Verbesserungspotenzial, auch wenn sie in dieser Beziehung besser aufgestellt sind als Open-Source-Anbieter. „Kommerzielle Softwareentwickler müssen die Veröffentlichung von Updates weiter optimieren und die Aktualisierung auf neue Hauptversionen vereinfachen“, fordert sie.

Laut Mehta ist es auch sinnvoll, zusätzliche Sicherheitsmaßnahmen zu implementieren, die bereits optimierte Abläufe für Produktevaluierung, Installationssorgfalt und konstante Überwachung ergänzen.

„Software wird immer fehlerhaft sein und Unternehmen sollten die Anschaffung von Big Data-Sicherheits-Appliances ins Auge fassen“, erklärt er.

Natürlich sind Entwicklern bei der Implementierung von Sicherheitsmaßnahmen auch Grenzen gesetzt. Gehen Funktionen zur Absicherung der Programme gegen Eindringlinge zulasten der Benutzerfreundlichkeit, werden Anwender dem Produkt den Rücken kehren. Sie haben keine Zeit für Maßnahmen, die sie bei der Arbeit behindern oder ihre Produktivität beeinträchtigen.

„Softwareentwickler müssen ein Gleichgewicht zwischen strengen Sicherheitsmaßnahmen und Benutzerfreundlichkeit finden“, so Cuff. „Häufige Sicherheitswarnungen oder Blockierungen ärgern Benutzer derart, dass sie die Schutzfunktionen deaktivieren.“

 

 

Michael O'Dwyer

Michael O'Dwyer

Geboren in London, jedoch ansässig in Hong Kong, Michael O’Dwyer hat die letzten 15 Jahre in der Elektronikindustrie verbracht, beschäftigt mit der Verwaltung von Informationstechnologien, Prozessverbesserungen und Versorgungsketten. Er schreibt für eine Reihe von Onlineportalen über IT- und ähnliche Themen.

Neueste Beiträge:

 

Tags: Software