In puncto Sicherheit hat die Softwarebranche einen recht dürftigen Schufa-Eintrag. Das weiß jeder, der schon mal ein Gerät schnellstmöglich updaten durfte, weil neue Sicherheitslücken ans Tageslicht getreten waren – und rechtzeitig entdeckte Lücken sind dabei noch der positivere Fall. Angesichts des dicken Minus auf dem Security-Konto muss ein Schuldnerberater her – natürlich eine KI, eh klar.
„Der Begriff ‚Security-Schulden‘ – im Englischen ‚security debt’ – kam vor rund zwei Jahren auf. Er beschreibt Softwarefehler, die in einer Applikation über einen längeren Zeitraum bestehen, als Schulden, die das Entwicklungsteam nicht abträgt“, erläutert Julian Totzek-Hallhuber. Er ist beim US-amerikanischen Security-Anbieter Veracode als Manager Solution Architects für die Gebiete außerhalb der USA zuständig, im typisch amerikanischen Akronym-Bingo also für die Region EMEA/APAC/LATAM.
Das von immer mehr Flicken – im Englischen „Patches“ – zusammengehaltene Gewand der Softwaresicherheit hat für Totzek-Hallhuber eine klare Ursache: „Applikationsentwickler werden nicht in Security geschult“, sagt er. „Deshalb entstehen immer wieder neue Security-Fehler in Applikationen, und diese werden oft nicht schnell genug behoben.“
Unsichere Legacy-Software
Verschuldet sind laut dem Veracode-Mann längst nicht nur Altapplikationen: „Wir sehen das überall“, erklärt er. Dennoch liegt der Hauptkamm der digitalen Schuldenbergkette offenbar beim Altbestand: „Interessant ist, dass Applikationen, die schon lange bestehen, höhere Security-Schulden aufweisen als solche, die gerade neu entwickelt wurden“, sagt er. „Wir sprechen von einer sogenannten ‚Honeymoon Period‘ [Flitterwochen-Zeitfenster, d.Red.]: Anfangs bemüht das Entwicklungsteam sich noch, Fehler schnell zu beheben. Im Laufe der Zeit aber wird es träge. Daher häufen sich Schulden schneller, je älter die Applikation ist.“
Totzek-Hallhuber schiebt den Schwarzen Peter allerdings nicht der Software-Industrie, sondern de Bildungswesen zu: „Das grundlegende Problem besteht bei den Universitäten, die Programmieren lehren. Denn die wenigsten Universitäten haben vorgeschriebene Secure-Coding-Kurse.“
Doch auch der Entwickleralltag trägt zu den roten Zahlen bei: „Die Entwicklungsumgebungen sind nicht darauf ausgelegt, Lücken sichtbar zu machen“, so Totzek-Hallhuber. „Sie helfen dem Entwickler lediglich, effizient zu programmieren.“ Erschwerend kommt hinzu, dass Entwicklungsteams sich gerne bei Open-Source-Repositories bedienen, sodass die Schuldenberge immer wieder neue Moränen bilden.
Code-Moränen
Und nun moränisiert auch noch die KI drauflos. Denn generative KI erlaubt es selbst Laien, schnell Code zu erzeugen, der aber eben auf Trainingsdaten aus dem Internet beruht – generative KI fischt in tiefrot getrübten Gewässern. „KI-Tools wie GitHub Copilot können Code generieren, aber auch sie erzeugen längst nicht nur sicheren Code“, mahnt Totzek-Hallhuber. Es sei notwendig, diese KI-Erzeugnisse auf Lücken hin zu überprüfen.
Hier kommt das Software-Security-Haus Veracode ins Spiel, mitgegründet 2006 vom bekannten Hacker und Security-Spezialisten Chris Wysopal (alias Weld Pond). Ziel des Unternehmens war es von Anfang an, Code bestmöglich vor Angriffen zu schützen.
Veracode-Mann Totzek-Hallhuber sieht drei Ansätze, um Software aus der Schuldenfalle zu befreien: „Erstens unsere Trainingslösung Security Labs, also Secure-Coding-Schulungen, die in verschiedenen Sprachen verfügbar sind. Zweitens unser Service ‚Remediation and Mitigation Guidance‘. Hier unterstützen unsere Security Consultants den Kunden im Rahmen 45-minütiger Webex-Konferenzen und geben per Screensharing Tipps für sicheres Coding. Das ist für die Entwickler Training on the Job, ebenso wie der dritte Ansatz, Verbesserungsvorschläge von Veracode Fix.“
Letzteres ist ein neuer Service des Anbieters. In einer Zeit, in der Programmierteams wie auch Cyberkriminelle zunehmend auf KI bauen, lag es für Veracode nahe, auch zur Code-Kontrolle wiederum KI zu nutzen – aber eben eine im Hause herangezogene KI statt einer, die ständig das rötlich getrübte Gletscherwasser aus den Dispo-Alpen schlürft.
„Veracode Fix, erhältlich seit Herbst 2023, wurde seit zweieinhalb Jahren nur von uns trainiert, und zwar mittels sogenannter Referenz-Patches, die ebenfalls nur wir selbst erstellt haben“, erläutert Totzek-Hallhuber das hauseigene Supervised Learning. „Deshalb kann man sich darauf verlassen: Der Code, den dieses Tool generiert, ist immer sicher.“
KI kontrolliert KI
Der Ablauf: Der Anwender schickt ein fehlerhaftes Code-Snippet, Veracodes KI überprüft es und macht Verbesserungsvorschläge „as a Service“, also laut Hersteller innerhalb weniger Sekunden. Das Entwicklungsteam auf Kundenseite entscheidet dann, welche der Vorschläge es annimmt. Veracode Fix ist derzeit für Java, JavaScript, .Net, PHP und Python verfügbar.
Dadurch könne ein Entwicklungsteam KI-Produkte heranziehen, ohne neue Schuldenberge anzuhäufen: „Unser Rat an die Entwickler lautet: Nutzt ruhig die AI-Tools aus dem Internet, denn sie erlauben es euch, effizienter zu programmieren“, so Totzek-Hallbuber, „aber lasst zusätzlich das Veracode-Tool darüberlaufen, um die entstandenen Fehler zu beheben.“
Wichtig sei es, Security-Tests möglichst zeitig in Softwareprojekte zu integrieren: „Je früher dies erfolgt, desto weniger Security-Schulden macht das Entwicklungsteam von Anfang an und desto weniger häufen sich die Schulden im Laufe der Entwicklungszyklen.“ Ebenso relevant sei häufiges Testen: „Unsere Statistiken zeigen: Unternehmen, die ihren Code täglich scannen, produzieren deutlich weniger Fehler als die mit zwölf Scans pro Jahr.“
Für den deutschen Markt nutzt der Anbieter aus Burlington, Massachusetts laut Totzek-Hallhuber das AWS-Rechenzentrum EU Central 1 in Frankfurt. Eine Datenhaltung im europäischen Rechtsraum sei also gewährleistet. Die Lizenzierung erfolgt pro Jahr und Entwickler, also unabhängig vom Code-Volumen.
Bislang arbeitet Veracode Fix laut Totzek-Hallhuber ausschließlich als halbautomatisiertes Tool. Er könne sich aber vorstellen, dass dies eines Tages automatisiert erfolgt. „Die KI lernt schließlich, welche Kunden welche Fixes ausgewählt haben, und kann dadurch einen neuen Fix entsprechend priorisieren“, sagt er.
Hoffen wir also, dass der künstlich intelligente Schuldnerberater es schaffen wird, das Coding von den tiefroten Zahlen zu befreien. Schließlich wäre es zu schade, wenn unser durchdigitalisiertes Leben angesichts nicht mehr zu bewältigender Sicherheitslücken und Cyberangriffe eines Tages Konkurs anmelden müsste.
*****
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
Hintergrundbild: Dr. Wilhelm Greiner, KI-generiert mittels NightCafé
Cartoon-Ratte: (c) Wolfgang Traub
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.