Sicherheitsbehörden setzen sich für sichere Programmiersprachen ein

In einem gemeinsamen Papier haben mehrere internationale Sicherheitsbehörden die Verwendung von speichersicheren Programmiersprachen in der kommerziellen Softwareentwicklung gefordert. Diese Behörden betonen, dass Speicherfehler wie Buffer Overflows und die Nutzung von nicht initialisiertem oder bereits freigegebenem Speicher die Hauptursache von Sicherheitslücken in Software darstellen. Besonders betroffen sind Programme die in den Sprachen C & C++ geschrieben sind. Die Sicherheitsbehörden drängen deshalb die Softwarehersteller dazu, eine Roadmap zu erstellen und zu veröffentlichen die den Umstieg auf eine speichersichere Software darlegt.

Die Roadmap soll konkrete Vorgaben enthalten, die welche verschiedenen Phasen des Umstiegs von der Evaluierung geeigneter Sprachen bis hin zum Refactoring von speicherunsicherem Code mit festgelegten Terminen umfassen. Des Weiteren sollen die Softwarehersteller einen Zeitpunkt kommunizieren, ab dem neuer Code nur noch in speichersicheren Programmiersprachen erstellt wird. Auch Planungen zum Training der eigenen Entwickler und zum Umgang mit externen Abhängigkeiten wie verwendeten C- & C++-Bibliotheken müssen erstellt und öffentlich zugänglich gemacht werden.

Empfohlene Umstiegssprachen

Das Papier mit dem Titel "The Case for Memory Safe Roadmaps" empfiehlt den Umstieg auf speichersichere Programmiersprachen wie C#, Go, Java, Python, Rust oder Swift. Diese Sprachen gelten als weniger anfällig für Speicherfehler und bieten dadurch eine erhöhte Sicherheit in der Softwareentwicklung.

Verfasst wurde das Papier von den US-Behörden Cybersecurity and Infrastructure Security Agency (CISA), NSA & FBI, dem Australian Cyber Security Centre (ACSC), dem Canadian Centre for Cyber Security (CCCS), dem britischen National Cyber Security Centre (NCSC-UK) und ebenfalls dem neuseeländischen National Cyber Security Centre (NCSC-NZ) und Computer Emergency Response Team (CERT NZ).

Hintergrund & Bedeutung

Die Forderung der Sicherheitsbehörden nach speichersicheren Programmiersprachen ist vor dem Hintergrund der zunehmenden Bedrohungen durch Cyberangriffe und Datenschutzverletzungen von großer Bedeutung. Sicherheitslücken in Software können von Cyberkriminellen ausgenutzt werden um Zugang zu sensiblen Informationen zu erlangen oder um Schäden an Systemen anzurichten. Speicherfehler wie Buffer Overflows sind dabei besonders kritisch da sie es Angreifern ermöglichen Schadcode in ein System einzuschleusen und auszuführen.

Die Empfehlung, auf speichersichere Programmiersprachen umzusteigen ist daher ein wichtiger Schritt um die Sicherheit in der Softwareentwicklung zu erhöhen und potenzielle Angriffspunkte zu minimieren. Die genannten Sprachen bieten Mechanismen & Funktionen die das Risiko von Speicherfehlern reduzieren und somit die Widerstandsfähigkeit von Software gegenüber Cyberangriffen stärken.

Zusätzliche Maßnahmen der Softwarehersteller

Neben dem Umstieg auf speichersichere Programmiersprachen sollten Softwarehersteller auch weitere Sicherheitsmaßnahmen berücksichtigen um ihre Produkte gegen potenzielle Bedrohungen zu schützen. Dazu gehören regelmäßige Sicherheitsüberprüfungen die Implementierung von Sicherheitsstandards und -richtlinien die Schulung von Entwicklern in sicheren Programmierpraktiken sowie die kontinuierliche Aktualisierung & Wartung von Software um bekannte Sicherheitslücken zu beheben.

Darüber hinaus ist es wichtig die Sensibilisierung für Sicherheitsaspekte in der Softwareentwicklung zu stärken und ein Bewusstsein für die Bedeutung von sicheren Programmierpraktiken zu schaffen. Dies kann dazu beitragen Sicherheitslücken frühzeitig zu erkennen und zu beheben bevor sie von potenziellen Angreifern ausgenutzt werden können.