Urs Hölzle: «Das Vertrauen in die Cloud steigt»

Urs Hölzle über Security by Design

CW: Heute muss IT-Sicherheit bereits Bestandteil der Produktentwicklung sein. Google verfolgt diese Philosophie bei der Hard- und Software für seine Data Center. Wie kann man sich Security by Design bei der Entwicklung neuer Services vorstellen? 
Hölzle: Die Security-Policys unserer Lösungen werden von Experten erstellt und deren Einhaltung laufend überprüft. Dieses Sicherheitsteam bestimmt, innerhalb welcher Grenzen Entwickler arbeiten können. Für die tägliche Arbeit bedeutet das, dass eine Entwicklerin eine neue Version einer Software programmiert und freigeben kann, auch direkt für den operativen Betrieb. Allerdings kann sie nicht an der Sicherheitskonfiguration schrauben. Zudem setzen wir auf hochsichere Libraries und automatisierte Prüfungen von Code. Auf diese Weise muss man nicht bei jedem Release die Sicherheitseinstellungen zusätzlich manuell prüfen. 
Google setzt neben Security by Design auf einen hohen Grad an Automatismus. Das Ziel: Weniger Komplexität soll den Einsatz des Cloud Computings sicherer machen, wie Urs Hölzle erklärt
Quelle: George Sarpong
CW: Was bringen die automatischen Code-Checks? 
Hölzle: Wir arbeiten agiler und effizienter. Auch verhindern wir so Verzögerungen im Betriebsablauf. Das Sicherheits­team könnte jeden Tag gegen Zehntausende Entwicklerinnen und Coder vorgehen, die Fehler beim Programmieren machen oder Tools bauen, die es ermöglichen, Fehler zu entdecken, sobald man diese begeht. Das ist doch viel effektiver. Einige dieser Tools sind Public Domain und können von jedermann genutzt werden. 
CW: Können Sie ein Beispiel dafür nennen? 
Hölzle: Cross-Site-Scripting ist eine der häufigsten Angriffsmethoden im Web. Hierbei kann ein Angreifer über eine Schwachstelle in der Programmierung einen Schadcode etwa für den unbefugten Zugriff auf einer Website einschleusen. Unsere Prüfwerkzeuge durchleuchten neu produzierte Software während des Abspeicherns in unserer Programmierumgebung und warnen Entwickler umgehend vor Schwachstellen wie ein mögliches Cross-Site-Scripting. 



Das könnte Sie auch interessieren