Die Ausbildung von Programmierern muss sich ändern

Mit welchen Methoden attackieren externe Hacker bevorzugt ihre Opfer?
26 Prozent greifen die Software Supply Chain an, 25 Prozent führen Software Vulnerability Exploits aus, 22 Prozent greifen mit Phishing an, 21 Prozent mit Social Engineering und 21 Prozent mit strategischen Web-Angriffen – so der Forrester State of Application Security Report 2023. Diese Zahlen zeigen deutlich, dass Lücken in der Software-Sicherheit zu den Top-Einfallstoren für die Angreifer zählen.

Doch warum ist Software nicht sicherer? Dafür gibt es viele Gründe. Einer der wichtigsten ist die mangelnde Ausbildung in sicherer Programmierung. Hochschulen haben Mühe, mit der Entwicklung Schritt zu halten, und die Studenten werden nicht ausreichend auf die Realität vorbereitet. Die Cybersicherheits-Ausbildung konzentriert sich viel zu sehr auf den Schutz vor Problemen, die durch schlechte Software-Sicherheitspraktiken verursacht werden. Stattdessen sollte gelehrt werden, wie Angreifer ein System aufgrund von unsicherem Code manipulieren und kontrollieren können – und auch nach der Ausbildung muss hier eine regelmässige Weiterbildung der Entwickler erfolgen. Denn Entwickler müssen die Grundlagen verstehen, wie eine Anwendung durch Angriffsvektoren wie SQL-Injection oder Command-Injection gefährdet werden kann. Daher ist es unerlässlich, dass Schulungsmodule zu sicherem Code und Grundsätzen der Anwendungssicherheit zu einem integralen Bestandteil jedes Informatik-Studiums und in Weiterbildungen werden.

(Statement von Julian Totzek-Hallhuber, Manager Solution Architects EMEA/APAC/LATAM bei Veracode)