MSDN Magazin > Home > Ausgaben > 2007 > November >  Anmerkung des Herausgebers: Warum bis zum Ä...
Anmerkung des Herausgebers
Warum bis zum Äußersten gehen?
Howard Dierking


  
„Ist Ihr System sicher?“ Diese Frage, zusammen mit der nach dem Maß der Sicherheit, ist eine der seltsameren Fragen, die Interessenten im geschäftlichen und IT-Bereich häufig stellen. Sie ist nicht deshalb seltsam, weil Sicherheit unwichtig wäre (ganz im Gegenteil – Sicherheit war noch nie so wichtig wie heute), sondern weil sie zu allgemein ist, um irgendeine messbare Bedeutung zu haben.
Die konkreteste Antwort auf beide Varianten der Frage könnte nur lauten: „Sicherer als einige, weniger sicher als andere Systeme.“ Natürlich ist diese Antwort für ein Unternehmen nicht sehr befriedigend und wird daher auch nie so formuliert. Stattdessen wird Sicherheit oft in Bezug auf ziemlich extreme Unbedingtheiten definiert. Bei dem einen Extrem stehen ausschließlich die Geschäftsanforderungen an das System im Mittelpunkt, wobei die IT-Abteilung eine Prüfliste sicherheitsbezogener Aufgaben liefern soll, die vor Bereitstellen des Systems erledigt werden. Bei dem anderen Extrem wird enorm viel Zeit und Energie darauf aufgewendet, jede mögliche Untat, die jemals in der Geschichte der Softwarebranche versucht wurde, zu untersuchen und sich davor zu sichern. Dies geht selbst über strengste Standards des Verteidigungsministeriums hinaus, Geschäftsanforderungen sind häufig denen unserer Paranoia unterworfen.
In der diesjährigen Ausgabe des MSDN Magazins zum Thema Sicherheit wird ein pragmatischer Ansatz beim Erstellen einer wirksamen, messbaren Sicherheitsstrategie in den Vordergrund gerückt. Am Anfang steht Michael Howards Erörterung einiger praktischer bewährter Methoden, die er in den letzten fünf Jahren beim Erstellen sicherer Software bei Microsoft kennen gelernt hat. Michal Chmielewski, Neill Clift, Sergiusz Fonrobert und Tomasz Ostwald stellen dann Verfahren zur stärkeren Integration sicherheitsrelevanter (automatisierter und manueller) Aktivitäten in den vorhandenen Entwicklungslebenszyklus vor. In Dan Greifs Beitrag wird ein konkreteres Beispiel der automatisierten Integration durch Entwicklung eines Add-Ins für Visual Studio Team System zum Testen mit zufälligen Daten behandelt. Für diejenigen, die sich ohne eine Betrachtung der Assemblysprache als Entwickler nicht hundertprozentig fühlen, erläutern Adel Abouchaev, Damian Hasse, Scott Lambert und Greg Wroblewski sehr ausführlich die verschiedenen Bedingungen, die zum Absturz von Anwendungen führen können, und wie diese Bedingungen zusätzlich Sicherheitsrisiken bilden.
Eins der Themen, das in diesem Monat in vielen Artikeln aufzutauchen scheint, ist die Tatsache, dass Sicherheitsanliegen einer kontinuierlichen Evolution unterliegen und auf einer realistischen Bedrohungsanalyse basieren. Aus diesem Grund geht es in dieser Ausgabe mehr um die Entwicklung einer stabilen Sicherheitsstrategie als um die Bereitstellung von Sicherheit für eine Anwendung als solche. Unter diesem Gesichtspunkt erscheinen Sicherheitsanliegen eher als Geschäftsanforderungen und nicht so sehr als statische Infrastrukturaspekte. Diese Betrachtungsweise kann daher vielleicht zur Entwicklung einer vernünftigen und messbaren Sicherheitsstrategie beitragen, bei der Extreme vermieden werden.
Kurzer Hinweis zum Thema Messbarkeit: Wir versuchen ständig, die Qualität des Inhalts und der Planung des MSDN Magazins zu verbessern. Unter anderem verlassen wir uns dabei auf das Bewertungssystem der Onlineversion jedes Artikels in der betreffenden Ausgabe. Sie können sehr direkt auf das Magazin Einfluss nehmen, indem Sie die Onlineversion eines hier gelesenen Artikels mithilfe dieses Systems bewerten. Ihre Meinung ist uns wichtig.
Codieren Sie sicher! – Howard

Thanks to Dank gilt den folgenden technischen Experten von Microsoft für ihren Beitrag zu dieser Ausgabe: Eric Bidstrup, Joe Binder, Todd Brooks, Claudio Caldato, John Durant, Steve Fox, Matt Gibbs, Ed Hintz, Michael Howard, Richard Johnson, Ivan Medvedev, Dave Reed, Bruce Taimana, Chris Tavares, Mads Torgersen und James Whittaker.


Page view tracker