22 Security by design /invite Dennis Stolp

Was haben der Flash Player und Windows XP gemeinsam…außer, dass
ich Anfang der 2000er viel zu viel Zeit mit ihnen verbracht
habe….omg Yetisports…? Wo war ich? Ach ja! Sie waren beide extrem
populäre, aber auch unsichere Softwareprodukte. Also voller Bugs
und IT-Schwachstellen. Beide Produkte wurden nicht nach „security
by design“ Prinzipien entwickelt. Das ist ein Problem, weil dann
Millionen von Nutzern über Jahre hinweg unsichere Software
einsetzen. Warum Software von grund auf sicher gebaut werden
sollte, darüber rede ich heute mit Dennis Stolp. Dennis
unterrichtet „security by design“  an der FH Aachen und ist
Product Owner bei exceet Secure Solutions GmbH. Er hat mich vor
einer weile angeschrieben und gefragt, ob wir das Thema nicht mal
mehr in den Fokus rücken wollen. Denn, im Informatik-Studium
kommt das so nicht unedingt vor. Auch Zeitdruck und Marktfaktoren
wie fehlende Nachfrage führen dazu, dass IT „security by design“
in der Softwareentwicklung oft zu kurz kommt. Wie man das in den
Griff bekommt, das erfahrt ihr in der Folge!
Shownotes

https://exceet-connect.de

Cornucopia, https://owasp.org/www-project-cornucopia/

Security Development
Lifecycle, https://de.wikipedia.org/wiki/Security_Development_Lifecycle

Codequalität lehren und lernen: Erfahrungen aus 6 Jahren
Programmierausbildunghttps://www.heise.de/ratgeber/Codequalitaet-lehren-und-lernen-Erfahrungen-aus-6-Jahren-Programmierausbildung-4795323.html?seite=all

Stiftung Warentest: Nur zwei Onlineshop-Gütesiegel sind
hilfreich, https://t3n.de/news/stiftung-warentest-nur-zwei-1223558/

WTF ist ein
Virus?, https://percepticon.de/2020/04/14-wtf-ist-ein-virus-corona-spezial/

Mark Elsberg
Blackout, https://www.amazon.de/BLACKOUT-Morgen-ist-spät-Roman/dp/3764504455

Yubikey, https://www.yubico.com/?lang=de

Ross Anderson, Why Information Security is Hard – An Economic
Perspective, https://www.acsac.org/2001/papers/110.pdf

Softwarentwicklung nach dem Security by Design Prinzip,
Heise, https://www.heise.de/developer/artikel/Sichere-Softwareentwicklung-nach-dem-Security-by-Design-Prinzip-403663.html?seite=2

Gartner Forecasts Worldwide Information Security Spending to
Exceed $124 Billion in
2019, https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019

Steve
Jobs, https://newslang.ch/wordpress/wp-content/uploads/2020/06/Thoughts-on-Flash.pdf

The Economics of
Cybersecurity, https://blog.nacdonline.org/posts/the-economics-of-cybersecurity

MeinScrum ist kaputt
Podcast, https://meinscrumistkaputt.de

Time codes

2:19 Begrüßung

6:09 Internet of Things und Industrie 4.0

8:50 Warum ist IT so unsicher?

11:57 Warum sieht man einem Produkt die IT-Sicherheit nicht
an?

17:28 Usability – Security – Functionality

20:48 Yubikey

26:10 Marktfaktoren die zu IT-Unsicherheit beitragen

29:00 Flash Player als mahnendes Beispiel

30:30 IT-Sicherheit kostet extra?

34:00 Security by design

40:40 Managementprobleme

42:00 Sandboxes, Firefox, Rust

49:20 IT-Sicherheit im Hochschulstudium

57:20 Security als blacok hole spending und andere Irrtümer

1:01:45 IT-Gütesiegel

1:06 best practices

Hinweise

Kommentare und konstruktives Feedback bitte auf percepticon.de
oder via Twitter. Die Folge erscheint auf iTunes, Spotify,
PocketCast, Stitcher oder via RSS Feed.
Sound & Copyright

Modem Sound, Creative Commons.

Vint Cerf, „Internet shows up in December 1975“, in: IEEE
Computer Society, Computing Conversations: Vint Cerf on the
History of Packets, December 2012.

L0pht Heavy Industries testifying before the United States
Senate Committee on Governmental Affairs, Live feed from CSPAN,
May 19, 1998.

Barack Obama, Cybersecurity and Consumer Protection Summit
Address, 13 February 2015, Stanford University, Stanford, CA.

Michael Hayden, „We kill people based on meta-data,“ in: The
Johns Hopkins Foreign Affairs Symposium Presents: The Price of
Privacy: Re-Evaluating the NSA, April 2014.

Bruce Schneier, „Complexity is the enemy of security, in IEEE
Computer Society, Bruce Schneier: Building Cryptographic Systems,
March 2016.

Beats, Bass & Music created with Apple GarageBand

Tags

IT-Sicherheit, Security by design, secure software development,
Secure development life cycle, Informatikstudium