Sicherheitsschuld
Der Begriff Sicherheitsschuld (security debt) vergleicht den Druck der monetären Schulden mit der langfristigen Belastung, der Entwickler und IT-Teams ausgesetzt sind, wenn Kürzungen bei der Security vorgenommen werden.
Zu den Faktoren, die zur Anhäufung von Sicherheitsschulden führen, gehören unsachgemäße Tests und Sicherheitsvorkehrungen, wie beispielsweise nicht eingespielte Patches oder nicht genügend geschützte Admin-Konten. Weitere Faktoren können Risiken sein, die zwar entdeckt wurden und bekannt sind, aber nie behoben wurden. Ein transparentes Risikomanagement und eine -analyse helfen Unternehmen, Probleme, die auftreten ordentlich nachzuverfolgen. So können sich Unternehmen über die wichtigsten Probleme einen Überblick verschaffen und Prioritäten für deren Behebung setzen. Diese Vorgehensweise kann auch verhindern, dass sich kleinere Probleme zu größeren, kostspieligeren Problemen ausweiten.
Um Sicherheitsschulden zu verringern, sollten Softwareentwickler Sicherheitstests sehr frühzeitig in ihren Entwicklungszyklus einbeziehen. Ebenso wichtig ist es, Sicherheitsupdates beziehungsweise Patches zeitnah einzuspielen. Unternehmen benötigen einen gut strukturierten, definierten und wiederholbaren Patch-Management-Prozess.
Die Wartung umfasst in der Regel die Beschaffung der Patches, ihre Prüfung, die Dokumentation der Prüfung zur Genehmigung und ihre Installation. Ein ordentliches Patch-Management erfordert Systeme zu Erkennung der Systeme von Assets und ein öffentliches oder privates Repository, über das die Systeme Updates abrufen können.
Unternehmen müssen sich der Bedeutung der Sicherheitsschuld bewusst sein und wissen, wie sich die Schwachstellen summieren können. Security-Experten weisen darauf hin, dass es ein großes Risiko sein kann, bei den Sicherheitsmaßnahmen zu sparen. Die negativen Folgen können sich direkt auf den Geschäftsbetrieb auswirken, aber auch Folgen für die Reputation und nicht zuletzt regulatorische Probleme nach sich ziehen.