CISOs müssen sich in 2021 mit den Konsequenzen der Entscheidungen, die sie im Jahr 2020 getroffen haben, beschäftigen. Eine ihrer ersten Aufgaben wird es sein, Abstriche, die sie im Frühjahr letzten Jahres gemacht haben, um Remote Arbeit schnellstmöglich zu ermöglichen, auszumerzen. Kurzum: Sie müssen sich mit dem Phänomen „Technische Schuld“ auseinandersetzen.
Lesen Sie nachfolgend in einem Statement von David Strom im Namen von RSA, was es mit diesem Phänomen auf sich hat und wie Unternehmen damit umgehen sollten.
Technische Schuld (engl. Technical Debt) ist ein Begriff, der durch die anhaltende Pandemie an Dringlichkeit gewonnen hat. Das Phänomen wurde 1992 von Ward Cunningham auf der OOPSLA Konferenz in Vancouver vorgestellt.
Es beschreibt das Einschlagen des einfachen Weges, das Sparen an der falschen Stelle und das Einsparen von Zeit, indem die längerfristigen Konsequenzen bestimmter Entscheidungen, die die IT-Infrastruktur von Natur aus unsicher machen könnten, nicht wirklich berücksichtigt werden.
Technische Schuld spiegelt die impliziten Kosten für die Überarbeitung solcher Einsparungen wider – Einsparungen, die Unternehmen schließlich in irgendeiner Weise einholen werden und die für die Zukunft große Auswirkungen auf die Sicherheit haben.
Die Sicherheitstrainerin und Beraterin Tanya Janca formuliert es in ihrem Buch „Alice and Bob Learn Application Security“ so: Technische Schuld ist eine Entscheidung. Es ist eine Entscheidung, das Aktualisieren, Reparieren und Optimieren an die letzte Stelle zu setzen. Technische Schulden sind Sicherheitsschulden, und Unternehmen müssen es zu einer persönlichen Priorität machen, sie zu verhindern.
Beispiele sind das Nicht-Patchen oder Upgraden von Endpunkten und Servern, sobald Updates verfügbar sind, die Verwendung veralteter Programmier- und Entwicklungs-Frameworks sowie die verspätete Reaktion auf spezifische Änderungen, die in ihren selbst entwickelten Anwendungen erforderlich sind.
Technische Schulden entstehen vor allem in Bürokratien, in welchen der Kauf von Büroklammern fünf Unterschriften erfordert. Unternehmen, die es den Entwicklern schwer machen, die richtigen Tools und Software-Frameworks zu erhalten, um ihre Arbeit zu erledigen, werden den einfacheren (und damit weniger sicheren) Weg wählen.
Zugegeben, die Pandemie hat viele IT-Organisationen in Zugzwang gebracht – und diese Unternehmen sind kaum noch in der Lage, das Rad am Laufen zu halten, geschweige denn längerfristig zu planen, um die Dinge so sicher wie möglich zu halten.
Die nachfolgenden Hinweise können Unternehmen helfen, technische Schulden abzubauen:
- Überprüfen Sie die Zusammenarbeit zwischen Ihren Entwicklungs- und Sicherheitsteams. Je mehr sie Best Practices austauschen können, desto sicherer werden Ihre Anwendungen.
- Vermeiden Sie Änderungen in letzter Minute. Versuchen Sie hingegen, die Sicherheit zu berücksichtigen, bevor eine einzige Zeile Code geschrieben wird. Eine Möglichkeit, um bewusster vorzugehen, ist eine Reihe von Test-Suiten, um Fehler oder Fehltritte aufzuspüren.
- Betrachten Sie Ihre Sicherheitsprobleme ganzheitlich – nicht sequenziell.
- Schaffen Sie eine solide Kultur der Code-Dokumentation, die es vermeidet, schnelle und unsaubere Entwicklungsentscheidungen zu treffen, ohne Auswirkungen auf Sicherheit zu berücksichtigen.
- „Lassen Sie nicht zu, dass sich die Schulden anhäufen“, wie Cunningham selbst so schön sagte. Jeder weiß, dass die Liste nie abgearbeitet, sondern nur länger wird. Entfernen Sie den Ballast und setzen Sie von Anfang an auf Einfachheit und Klarheit.
Tanya Janca schreibt in ihrem Buch: Wenn Unternehmen einen großen Teil ihrer Zeit nur damit beschäftigt sind, die Lichter am Brennen zu halten und Feuer zu löschen, werden technische Schulden auch zu Sicherheitsproblemen führen.