Interviewpartner:
Christoph Platzer (Parkside Interactive CEO), Manuel Zametter (4facher Cyber Security Staatsmeister & Senior Software Developer bei Parkside Interactive)
Leitbetriebe Austria: Was macht Parkside Interactive? Können Sie Ihr Unternehmen bitte kurz vorstellen?
Christoph Platzer: In hoch spezialisierten Einheiten — Strategy, Design, Technology und Innovation — kreiert ein Team von mehr als 100 Expertinnen und Experten aus 20 Ländern an 5 Standorten digitale Produkte und Services, die Menschen und Unternehmen bewegen. Wir helfen Unternehmen, ihre digitale Transformation und ihr Wachstum in Zeiten des Wandels zu beschleunigen — von der Strategie zur Realität. Dazu zählen zahlreiche DACH-Konzerne, mittelständische Innovationsführer und Tech-Giganten wie Linkedin und Shutterstock.
Für welche Unternehmen ist Software Security wichtig und warum?
Christoph Platzer: Jedes Unternehmen wird künftig ein Stück weit auch Software-Unternehmen sein — das bringt die digitale Transformation mit sich. Damit steigt die potenzielle Angriffsfläche für Cyber-Attacken, wie auch die Relevanz des Themas Software Security als präventive Verteidigungsmaßnahme. Unzureichende Sicherheitsmaßnahmen können zu Datenverlust, Betriebsstörungen, Kundenvertrauensverlust und Reputationsschäden führen – und damit ist das Thema im C-Level angekommen.
Welche Vorteile bringt eine proaktive Software Security mit sich?
Christoph Platzer: Im Unterschied zu einem reaktiven Ansatz, bei dem man sich mit Problemen und deren Folgen erst auseinandersetzt, wenn sie auftreten, setzt ein proaktiver Umgang auf eine strukturierte Analyse mit “Angriffsdenken” von Software Applikationen um Schwachstellen zu finden. Es ist somit eine Investition in die Prävention und eine wirksame Verteidigungsmaßnahme. Die heutigen Nutzer*innen sind sich der Sicherheitsbedenken immer häufiger bewusst und oft bereit, einen Aufpreis für Software mit erhöhter Sicherheit zu bezahlen.
Wo liegen die größten Sicherheitslücken eines Softwaresystems?
Manuel Zametter: Das lässt sich so allgemein nur schwer beantworten. Natürlich gibt es bestimmte Fehlerklassen, die besonders weit verbreitet sind, z.B. die OWASP Top 10, aber auch darüber hinaus gibt es viel Potenzial für unerwünschte Sicherheitslücken. Viele Sicherheitsprobleme ergeben sich auch erst aus Fehlern in der Business-Logik oder durch das Zusammenspiel unterschiedlicher Softwaresysteme. Daher ist es umso wichtiger, gezielte Audits für eine Applikation durchzuführen und nicht nur basierend auf einem starren Schema (Checkliste) vorzugehen.
Was können Unternehmen tun, um ihren Code sicherer zu machen?
Manuel Zametter: Oft ist es ratsam, mit einer Analyse der eigenen Angriffsfläche zu starten. Dabei geht es unter anderem darum festzustellen, welche für potenzielle Angreifer interessanten Systeme (Assets) betrieben werden und diese nach Risiko zu priorisieren. Unabhängig davon sollten die Entwickler auf Best-Practices im Bereich Secure Coding geschult und automatische Sicherheitschecks (SAST / SCA) in den Entwicklungsprozess integriert werden. Es ist auch wichtig, sich über die neuesten Bedrohungen und
Verteidigungsmaßnahmen auf dem Laufenden zu halten. Dabei sollen Sicherheitsaspekte in alle Phasen der Produktentwicklung einfließen, von initialen Risikoanalysen und Threat-Modelling in der Konzeptionsphase bis zum klassischen Audit vor einem größeren Release. Security ist nichts, das man erst am Ende „dazu baut“.
Gibt es abschließend noch ein Thema, das im Bereich Cyber Security zukünftig immer wichtiger wird?
Manuel Zametter: Ein Thema, das in diesem Bereich künftig immer wichtiger wird, ist die künstliche Intelligenz (AI) und ihre Auswirkungen auf die Cyber Security. AI wird immer häufiger eingesetzt, um automatisierte Entscheidungen in verschiedenen Anwendungen zu treffen, so auch im Bereich der Cyber Security. Allerdings können auch Angreifer AI einsetzen, um Angriffe zu automatisieren und zu optimieren. Dies zeigt sich zum Beispiel in den letzten Monaten durch zunehmend realistische Phishing-Kampagnen und Spam-Bots. Es ist daher wichtig, dass Unternehmen und Sicherheitsexperten sich auf die Abwehr von AI-gestützten Angriffen und auf die Integration von AI in ihre eigenen Abwehrmaßnahmen vorbereiten. Eine weitere große Herausforderung besteht darin, die AI-Algorithmen und -Modelle vor Angriffen zu schützen und ihre Integrität und Vertrauenswürdigkeit sicherzustellen