Security-Firmen sollten bessere interne Sicherheitsprozesse haben

Golem.de: Sicherheitslücken gibt es nicht nur in normaler Anwendersoftware wie Betriebssystemen, sondern immer wieder auch in Software von Sicherheitsfirmen, etwa in Virenscannern. Arbeitet die IT-Sicherheitsindustrie in Bezug auf Sicherheit selbst schlampig?

Vanunu: Sicherheitsfirmen sollten bessere interne Sicherheitsprozesse haben. Ich habe aber das Gefühl, dass es dafür in der ganzen Industrie in den vergangenen Jahren deutlich mehr Aufmerksamkeit gibt. Der Einfluss auf das eigene Image wird immer größer. Trotzdem sollten Sicherheitsfirmen sich immer wieder bewusst machen, dass jede Codezeile, die sie eingeben, eine mögliche Schwachstelle ist. Aber ich glaube, dass die Industrie sich in die richtige Richtung bewegt und insgesamt reifer geworden ist.

Golem.de: Ihr Job bei Checkpoint ist es unter anderem, für die Sicherheit der Produkte zu sorgen. Wie testet Checkpoint seine eigenen Produkte?

Vanunu: Alle Entwickler, die zu Checkpoint kommen, bekommen ein spezialisiertes Training für sichere Softwareentwicklung. Wir haben Prozesse vom Design über die Betaversion bis hin zum fertigen Release. Es gibt zahlreiche Milestones für Security, die jeder Entwickler und jeder Product-Owner erreichen muss, um eine Freigabe zu erhalten. Security ist Teil unserer DNA.

"Bei jeder Codezeile muss die Sicherheit berücksichtigt werden"

Wir erwarten von jedem Entwickler, der eine Codezeile schreibt und von jedem Manager, der eine Entscheidung trifft, zu berücksichtigen, ob die neuen Features einen Einfluss auf die Security haben. Aber auch bei uns gibt es natürlich Bugs, wie in jeder Software. Wenn wir Berichte über Sicherheitsprobleme bekommen, dann schließen wir diese Probleme so schnell wie möglich.

Wir haben ein Team von zehn Entwicklern, das sich nur um die Sicherheit unserer eigenen Produkte kümmert. Im Team gibt es Spezialisten, um Exploits zu entwickeln, einen Verschlüsselungsexperten, einen Kernel-Profi und welche, die sich vor allem mit Fuzzing beschäftigen. Wir entscheiden immer wieder, welche Angriffsvektoren die besten sind, um unsere eigene Software zu testen. Es ist wichtig, Menschen mit sehr unterschiedlichen Fähigkeiten in diesen Prozess zu integrieren, um gute Ergebnisse zu bekommen.

Golem.de: Danke für das Gespräch!

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wir sollen mit der Veröffentlichung von Details zurückhaltender sein
  1.  
  2. 1
  3. 2
  4. 3
Verwandte Artikel
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
artikel-bild
Check Point
LGs smarter Staubsauger lässt sich heimlich fernsteuern
Meistgelesen
artikel-bild
Gefangen im Zeitstrom, verloren im All
Die zehn besten Sci-Fi-Serien der 1960er
artikel-bild
Forschung
KI findet Antibiotikum gegen multirestistentes Bakterium
artikel-bild
Blue Byte
Im Bann der ersten Siedler
Kommentarübersicht
Rating statt Schonprogramm
cpt.dirk 11. Jun 2017

Die Praxis der vielen oftmals sogar völlig vertraulich und unternehmensfreundlich...

Re: Denkfehler oder keine Ahnung von der Materie
cpt.dirk 11. Jun 2017

Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen...

Security by Obscurity?
Baker 08. Jun 2017

Soweit ich es verstanden habe, ist das die Hauptaussage dieses "Experten". Klingt nicht...

Re: Widerspricht er sich da nicht selbst?
Cok3.Zer0 07. Jun 2017

Wenn das Update dann überhaupt funktioniert. Sie haben's auf jeden Fall irgendwann im...

Aktuell auf der Startseite von Golem.de
Gefangen im Zeitstrom, verloren im All
Die zehn besten Sci-Fi-Serien der 1960er

Sie sind die Klassiker, auf denen das ganze Genre aufbaut: die großen Science-Fiction-Serien der 1960er. Neben Star Trek gab es hier noch viel mehr.
Von Peter Osteried

Gefangen im Zeitstrom, verloren im All: Die zehn besten Sci-Fi-Serien der 1960er
Artikel
  1. Grace Hopper Superchip: Nvidia zeigt den DGX GH200 AI-Supercomputer
    Grace Hopper Superchip
    Nvidia zeigt den DGX GH200 AI-Supercomputer

    Die Kombination aus Grace Hopper, Bluefield 3 und NVLink ergibt funktional eine riesige GPU mit der Rechenkapazität eines Supercomputers und 144 TByte Grafikspeicher.

  2. Forschung: KI findet Antibiotikum gegen multirestistentes Bakterium
    Forschung
    KI findet Antibiotikum gegen multirestistentes Bakterium

    Forscher zeigen, dass die Hoffnungen in KI bei der Entwicklung von Medikamenten berechtigt sind. Ihre Entwicklung soll deutlich schneller werden.

  3. Speicherleaks vermeiden: Ressourcen- und typensicheres Programmieren in C++
    Speicherleaks vermeiden
    Ressourcen- und typensicheres Programmieren in C++

    Bei C++ liegt alles in der Hand der Entwickler - und das kann gut und schlecht sein. Richtig angewendet, ist die Sprache aber alles andere als unsicher.
    Eine Anleitung von Adam Jaskowiec

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • MindStar: AMD Ryzen 9 5950X 429€, MSI RTX 3060 Gaming Z Trio 12G 329€, GIGABYTE RTX 3060 Eagle OC 12G 299€, be quiet! Pure Base 500DX 89€ • Logitech bis -46% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /