Marktforschung Sicherheit darf nichts kosten

IT-Sicherheit
IT-Sicherheit

Viele Embedded-Firmen nehmen Sicherheit nicht ernst genug. Das ist das Ergebnis einer Studie der Barr Group, in deren Rahmen 2400 Ingenieure befragt wurden, ein Drittel davon aus Europa.

Die Barr Group ist ein herstellerneutrales Schulungs- und Beratungsunternehmen. Um ein besseres Verständnis von Markt- und Kundenbedürfnissen zu erlangen, führte die Firma zum zweiten Mal eine Umfrage durch. Vor Beginn der Studie wurden mehr als 300.000 Einladungen zur Teilnahme per E-Mail versandt. Die Befragung selbst bestand aus einer Reihe von Webformularen, deren Beantwortung kaum mehr als fünf Minuten dauerte. Sie fand im Januar 2016 statt.

Insgesamt 2953 Teilnehmer beantworteten alle Fragen. Allerdings wurden nur 2452 davon als „qualifiziert“ berücksichtigt. 46 Prozent der Befragten sind reine Software-Entwickler, weitere 25 Prozent entwickeln Hard- und Software und der Rest sind Hardware-Entwickler, Systemarchitekten oder Manager. Die meisten Antworten kamen aus den USA (46 Prozent), ein Drittel aus Europa und 11 Prozent aus Asien. Mindestens die Hälfte entwickelt Produkte, die in sicherheitsrelevanten Bereichen eingesetzt werden: Industriesteuerungen, Automobilsteuergeräte, Luftfahrt, Medizin. 22 Prozent oder 543 der Teilnehmenden gaben an, dass bei einem Versagen ihres Systems sogar ein Menschenleben gefährdet ist. Die Überraschung ist nun: Von diesen 22 Prozent sagen nur zwei Drittel, dass ihre Produkte die einschlägigen Sicherheitsbestimmungen erfüllen. Bei den Maßnahmen, die getroffen werden, um die nötige Software-Sicherheit zu erreichen, werden Codierungsstandards noch am häufigsten angewendet. Statische Analyse und Code Reviews sind weniger verbreitet (Bild 1). Die Analysten der Barr Group schließen daraus: „Bewährte Methoden zur Verbesserung der funktionalen Sicherheit werden von zu vielen Entwickler von sicherheitskritischen Systemen ignoriert.“

Security ist für die Mehrheit relevant

IT-Sicherheit ist für eine große Mehrheit von 61 Prozent der Befragten relevant (Bild 2). Diese Zahl ist nahezu identisch mit denjenigen, die angeben, dass ihre derzeit in Entwicklung befindlichen Systeme immer oder gelegentlich online sein werden. Aber wie wichtig ist Security für diese Entwickler? – Nur 31 Prozent von ihnen sagen, dass Security so wichtig ist, dass sie auch eine Verzögerung des Projektablaufs in Kauf nehmen würden, um das nötige Sicherheitsniveau zu erfüllen. Für alle anderen ist es wichtiger, den Zeitplan des Projekts einzuhalten. Gleichzeitig ist zu beobachten, dass die Systeme immer komplexer werden: In einem Viertel der Systeme kommen Multicore-Prozessoren mit vier oder mehr Kernen zum Einsatz. Die meisten Projekte werden von kleineren Teams mit weniger als zehn Mitgliedern entwickelt. Oft handelt es sich um Systeme, für die sowohl funktionale als auch IT-Sicherheit relevant ist. Andrew Girson, CEO der Barr Group, sagt: „Durch die ständige Konnektivität vergrößert sich die Angriffsfläche, die Embedded-Systeme bieten, enorm. Gleichzeitig bedeuten eine hohe Zuverlässigkeit und die Einhaltung funktionaler Sicherheitsstandards auch, dass sich die Security des Systems verbessert, weil dadurch weniger Angriffsmöglichkeiten bestehen.”