Cyber Security und Software Entwicklung: Unterschiede hinsichtlich Schwierigkeitsniveau, Gehalt usw.?

Tatsache ist: Fast alle Software-Entwickler konzentrieren sich darauf, Anwendungsfunktionalität zu betrachten, zu implementieren und zu testen, machen sich aber so gut wie nie auch Gedanken über Cyber Security. Genauer:

Damit bei neu entstehender Software auch Security-Aspekte gebührend mit berücksichtigt werden, muss es mindestens eine Person im Entwicklungsteam geben, die sich ausschließlich mit Planung, Entwurf, Implementierung und Test von Security befasst. Zudem muss das Thema schon im Pflichtenheft gebührend mit berücksichtigt worden sein — was aber in keinem einzigen Pflichtenheft, das ich je sah, auch tatsächlich der Fall war!

Über ganze 30 Jahre im Software-Entwicklungsbereich hinweg habe ich kein einziges Projekt miterlebt, in dem man Security-Aspekte – und schon gar nicht Cyber-Security-Aspekte – wirklich ernsthaft mit berücksichtigt hätte. Stets dachten die Entwickler, es reiche völlig, eine Login-Funktion zu implementieren und einen Mechanismus, über den man Daten bzw. Funktionen mit Zugriffsrechten versehen kann. [ Klar auch: Selbst wo Entwickler wissen, dass mehr benötigt würde, werden sie Auftraggebern, die solche Funktionalität nicht explizit fordern, natürlich auch nicht liefern. Auftraggeber, scheinen sich dessen meist nicht bewusst zu sein oder werden — wie das bei Banken und Versicherungen üblich ist — Security-Lösungen in zusätzlichen Projekten durch Spezialisten implementieren lassen. ]

|

Kein Wunder also, dass man immer wieder sprachlos machende Sicherheitslücken entdeckt:

• https://www.swr.de/swraktuell/baden-wuerttemberg/datenklau-plusminus-104.html
• https://www.swrfernsehen.de/marktcheck/datenklau-plusminus-102.html
• https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/133443-ungesicherte-datenbanken-deutschland-unter-den-gefaehrdetsten-laendern