Wie Secure Code Training die digitale Transformation im Finanzdienstleistungssektor unterstützt

Finanzdienstleistungsinstitute stehen vor einer Reihe von Herausforderungen, die von ihrer Fähigkeit abhängen, Technologie in einer sich schnell entwickelnden Finanzwelt effizient und effektiv einzusetzen.

Unternehmen agieren in einer Zeit schneller Veränderungen — sowohl intern als auch branchenübergreifend — in einer hart umkämpften, cloudbasierten Geschäftsumgebung. Bei der Verfolgung ihrer laufenden digitalen Transformationen arbeiten Unternehmen beispielsweise daran, die organisatorische Reibung das behindert Investitionen in neue Technologien wie künstliche Intelligenz, die Zahlungsprozesse und andere Verfahren beschleunigen könnten.

Natürlich ist ihnen die Notwendigkeit, eine Reihe regulatorischer Anforderungen einzuhalten, die von den Anforderungen des Sarbanes-Oxely Act zur Verwaltung von Finanzunterlagen und den Regeln des Payment Card Industry Data Security Standard (PCI DSS) zum Schutz von Karteninhaberdaten bis hin zum Schutz personenbezogener Daten im California Consumer Privacy Act (CCPA) und der Allgemeinen Datenschutzverordnung (GDPR) der EU reichen.

Bußgelder und andere Kosten bei Nichteinhaltung der Vorschriften können sich schnell summieren. von IBM Bericht über die Kosten einer Datenschutzverletzung 2023 stellte fest, dass sich die durchschnittlichen Kosten für Unternehmen mit einem „hohen Maß an Verstößen“ auf insgesamt 5,05 Millionen US-Dollar beliefen — das sind mehr als eine halbe Million Dollar mehr als die durchschnittlichen Kosten einer tatsächlichen Datenschutzverletzung.

Apropos Datenschutzverletzungen: Cyberangriffe sind nach wie vor eine Geißel für Finanzinstitute, die die am zweithäufigsten von Cyberangriffen betroffene Branche sind. Allein Ransomware-Angriffe haben dramatisch zugenommen. Laut Sophos sind sie von 34% im Jahr 2021 auf 55% im Jahr 2022 und bis zu 64% im Jahr 2023 gestiegen Stand der Ransomware im Finanzdienstleistungssektor Bericht 2023. Laut Angaben stieg die Zahl der Datenkompromittierungen (einschließlich Datenschutzverletzungen und Offenlegung privater Daten) in der US-Finanzdienstleistungsbranche von 138 im Jahr 2020 auf 744 im Jahr 2023 Statista.

Ein Versagen in einem dieser Bereiche — sei es interne Effizienz, Compliance oder Sicherheit — gefährdet den Ruf eines Unternehmens und damit auch die Kundenbindung, die das Lebenselixier von Finanzdienstleistungen ist. Um wettbewerbsfähig und erfolgreich zu bleiben, müssen Unternehmen das Vertrauen ihrer Kunden stärken. Das beginnt damit, dass ihre Software, Systeme und Prozesse effizient und effektiv sind. Im Mittelpunkt all dessen steht sicherer Softwarecode.

Entwickler stehen unter zunehmendem Druck, Anwendungen und Dienste schneller als je zuvor zu erstellen, zu aktualisieren und bereitzustellen. Und das bedeutet, mehr Softwarecode zu entwickeln und mit ihm zu arbeiten, unabhängig davon, ob er von internen Entwicklern selbst geschrieben, von KI produziert, aus Open-Source-Repositorys stammt oder von Dritten bereitgestellt wird.

Die Qualität und Sicherheit dieses Codes sind von größter Bedeutung, um einen effektiven Betrieb zu gewährleisten, aber das ist ein Bereich, in dem Unternehmen zu oft zu kurz kommen. Und wenn das Codevolumen zunimmt, wird die Anzahl der Fehler, Schwachstellen und Sicherheitslücken nur zunehmen, wenn sie nicht zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC) behoben werden.

Unternehmen müssen von links anfangen, um sichereren Code zu erstellen und Fehler frühzeitig zu korrigieren. Agiles Training in bewährten Methoden für sicheres Programmieren kann die Grundlage für sichere, vertrauenswürdige Anwendungen bilden. Dies reduziert nicht nur das Risiko eines Unternehmens, sondern trägt auch zum Geschäftserfolg bei.

TREND 1: TOOLS FÜR DIE KI-ENTWICKLUNG

Innovation mit KI hängt von sicherem Code ab

Künstliche Intelligenz, insbesondere generative KI, wird im Handel, in der Bildung und im täglichen Leben schnell allgegenwärtig. Unter den unzähligen Anwendungen, für die generative KI eingesetzt wurde, war das Schreiben von Code eine bemerkenswerte Funktion. Dies hat sich im Allgemeinen als vorteilhaft erwiesen, wirft aber auch ein weiteres Problem auf, das eng mit der Nutzung von KI zusammenhängt: die Sicherheit. Als frühe Anwender neuer Technologien müssen Finanzinstitute für ein ausgewogenes Verhältnis zwischen Produktivitätsgewinnen und dem sicheren und verantwortungsvollen Einsatz von KI sorgen.

Bisher wurde KI hauptsächlich zur Unterstützung der Codeentwicklung eingesetzt, anstatt beispielsweise zur Automatisierung des Korrekturprozesses, und ihre Auswirkungen waren überwiegend positiv. Befragte eines Umfrage von GitHub, das ergab, dass mehr als neun von zehn in den USA ansässigen Entwicklern KI-Programmierwerkzeuge verwenden, gab an, zu den Vorteilen gehörten Produktivitätssteigerungen (53%), die Entwicklern die Freiheit geben, sich auf kreative statt auf sich wiederholende Aufgaben zu konzentrieren (51%), und Burnout zu verhindern (41%).

Bei großen Banken und anderen Finanzdienstleistungsunternehmen ist die Wahrscheinlichkeit höher als bei Banken in anderen Branchen, dass sie KI frühzeitig einsetzen. Schließlich sind Finanzinstitute im Wesentlichen Technologieunternehmen, weil sie das Geld haben, um in großem Umfang in neue Technologien zu investieren, und immer auf der Suche nach einem Wettbewerbsvorteil sind.

Während einige Befürchtungen geäußert haben, dass KI menschliche Arbeiter verdrängen wird, funktioniert die Technologie tatsächlich am besten, wenn sie mit menschlichen Kollegen kombiniert wird. Entwickler benötigen jedoch mehr als nur ein Minimum an Checkboxen, um zu lernen, wie man sie benutzt. Sie benötigen Präzisionstraining um die besten Sicherheitsmethoden unter realen Bedingungen wirklich zu verstehen, sodass sie nicht nur selbst sicheren Code schreiben, sondern auch die Arbeit ihrer KI-Assistenten, die Code schreiben, kompetent überwachen können.

Zum Beispiel eine Übung in Schulung von SCW fordert ein LLM-Modell auf, den Inhalt eines echten Codeausschnitts zu ändern, um die Funktion des Codes zu ändern. Die KI reagiert, indem sie einen Codeblock erzeugt — aber dieser Block ist anfällig für Cross-Site Scripting (XXS). Die Schulung stellt sicher, dass der Entwickler diese Sicherheitslücke erkennen kann.

KI und Entwickler können sehr produktiv zusammenarbeiten, aber nur, wenn die Entwickler gut genug geschult sind, um sicherzustellen, dass KI sicheren Code generiert.

Die Codierungsfehler der KI können sich schnell ausbreiten

Wenn ein KI-Modell darauf trainiert wird, Code zu schreiben, nimmt es Tausende von Beispielen für das Schreiben von Code auf, so wie ein anderes Modell Tausende von Beispielen für Prosa oder Poesie aufnimmt, bevor es eine Geschichte oder ein Gedicht für einen Benutzer schreiben kann. Es gibt jedoch keine Garantie dafür, dass sich das KI-Modell nicht auf ein Beispiel stützt, das Fehler enthält. Da KI-Modelle ihre Prozesse nicht transparent machen, tauchen Fehler erst im Nachhinein auf. Und die KI wird diese Fehler wiederholen, bis sie behoben sind.

Ein früher Studie von KI-Forschern stellte fest, dass KI-generierter Code erhebliche Sicherheitslücken mit sich gebracht hat, darunter Cross-Site-Scripting-Schwachstellen (XSS), die Anfälligkeit für Code-Injection-Angriffe und neue Sicherheitslücken, die spezifisch für KI-generierten Code sind, wie z. B. solche, die mit Prompt Injection verbunden sind. Würden KI-Tools unkontrolliert zum Schreiben von Code verwendet, könnte sich böser Code schnell ausbreiten, was zu einer Welt führen würde, in der Software, die bereits viele Sicherheitslücken, wäre weniger sicher als je zuvor.

Es ist unerlässlich, dass menschliche Entwickler und KI-Modelle bei der Codeentwicklung zusammenarbeiten und sicherstellen, dass bewährte Verfahren für sichere Codierung befolgt werden, sodass Finanzinstitute die Vorteile einer erhöhten Geschwindigkeit und Effizienz nutzen und gleichzeitig das Risiko begrenzen können, das ohne menschliches Eingreifen potenziell katastrophal sein könnte.

Finanzinstitute können bei der sicheren Entwicklung eine Vorreiterrolle einnehmen

Das schnelle Wachstum der KI, insbesondere derjenigen, die große Sprachmodelle (LLMs) wie ChatGPT und die vielen anderen generativen KI-Implementierungen verwenden, die in der Lage sind, ihre eigenen Inhalte zu erstellen, hatte seine Fehltritte. KI-Modelle haben zu Fehlern, voreingenommenen Ergebnissen geführt und AI-Halluzinationen, was zu vermehrten Forderungen nach Regulierung führte. Das Weiße Haus hat zum Beispiel eine Exekutivverordnung zur Entwicklung und Nutzung von KI. Es schlug auch eine vor AI Bill of Rights soll dazu beitragen, die Öffentlichkeit vor KI-bedingten Risiken zu schützen. Jede Regierungsinitiative wird jedoch auf der Zusammenarbeit und Zusammenarbeit mit den Technologieunternehmen beruhen, die KI entwickeln, von denen sich viele dazu verpflichtet haben ethische Standards einhalten.

Die Finanzdienstleistungsbranche wird wahrscheinlich auch strenge interne Kontrollen einführen. Unternehmen sind vielleicht immer auf der Suche nach einem Wettbewerbsvorteil, aber sie wissen, dass die Sicherheit ihrer Informationen — sowohl der internen Daten als auch der ihrer Kunden — von größter Bedeutung ist. Darüber hinaus müssen sie sicherstellen, dass sie die Anforderungen gesetzlicher Vorschriften erfüllen, beispielsweise die des Office of the Comptroller of the Currency (OCC) in den Vereinigten Staaten oder der Europäischen Zentralbank (EZB) für europäische Geschäfte.

Als frühe Anwender von KI werden Banken und Finanzinstitute daran interessiert sein, zu erfahren, wie KI die Effizienz verbessern kann, indem sie Innovationszentren und andere Bemühungen unterstützen, die Fähigkeiten der KI zu erkunden. Unternehmen benötigen aber auch Kontrollen, um die Sicherheit zu gewährleisten. Eine frühzeitige Einführung birgt immer ein inhärentes Risiko, und da der Einsatz von KI skaliert, müssen Risiken und Chancen ausgewogen sein. Unternehmen würden beispielsweise von einer Analyse der Stärken, Schwächen, Chancen und Bedrohungen (SWOT) in den frühen Phasen des Einsatzes von KI profitieren.

Effektiver Einsatz von KI beginnt mit sicherem Code

Die Fähigkeit der Finanzbranche, KI effektiv zu nutzen, wird von der Sicherheit abhängen, und dazu muss sichergestellt werden, dass der Code, den die KI erstellt, von Anfang an sicher ist. Unternehmen müssen sicherstellen, dass sie über hochqualifizierte Techniker verfügen, die das Schreiben von KI-Codes genau überwachen, Fehler identifizieren und diese schnell korrigieren. Die Zusammenarbeit mit Unternehmen, die agile Schulungen und andere Dienstleistungen anbieten, die Sicherheit und Compliance gewährleisten, ist ein guter erster Schritt zur Förderung einer starken Sicherheitslage.

Die Risikolandschaft verändert sich ständig, insbesondere innerhalb des Softwareentwicklungszyklus. Und als frühe Anwender von KI müssen Finanzinstitute beim sicheren und verantwortungsvollen Einsatz von KI eine Vorreiterrolle einnehmen. Einige Finanzinstitute sind groß genug, um die Regierungspolitik beeinflussen zu können. Indem sie Maßnahmen ergreifen, um sicheren Code zu gewährleisten, indem KI-Modelle und Entwickler zusammenarbeiten können, können Institute bewährte Verfahren etablieren, denen andere Branchen folgen können.

Integrations

You can learn more from SCW’s whitepaper explaining the role AI can play in code writing and why it’s essential that developers are thoroughly trained in recognizing secure coding patterns and the vulnerabilities that result from unsecure code.

Download Whitepaper

‍TREND 2: VERSTÄRKTE REGULIERUNG

Der Kodex steht im Mittelpunkt der Einhaltung gesetzlicher Vorschriften

Ein wichtiger Faktor für die Implementierung sicherer Verschlüsselungspraktiken ist die Notwendigkeit, dass Finanzinstitute die Einhaltung der für ihr Geschäft geltenden Vorschriften sicherstellen müssen. Institute haben eine Reihe von geltenden Vorschriften, die je nach Art der von ihnen abgewickelten Transaktionen variieren.

Zum Beispiel PCI DSS 4.0, die neueste Version des Payment Industry Data Security Standard, ist ein globaler Standard zum Schutz von Kredit- und Zahlungskartendaten und -transaktionen. Er soll Betrug und anderen Missbrauch verhindern und gilt für alle Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Der Standard ist kein Gesetz, wird aber vertraglich durchgesetzt und kann dazu beitragen, Datenschutzverletzungen zu verhindern, bei denen es sich um Verstöße gegen andere Vorschriften wie die DSGVO handelt.

Eine weitere Verordnung, die Gesetz über digitale betriebliche Resilienz (DORA) ist ein verbindlicher EU-Rahmen für das Risikomanagement im Finanzdienstleistungssektor, der sowohl Finanzinstitute als auch deren Drittanbieter abdeckt. DORA legt technische Standards fest, um die Risikomanagementpraktiken mit denen der EU zu vereinheitlichen und so einen universellen Standard zu schaffen.

Das Gesellschaft für weltweite Interbanken-Finanztelekommunikation, bekannt als Swift, ist eine Kooperation, die Maßstäbe für Geldtransfers im gesamten globalen Finanzsektor gesetzt hat. Das Kundensicherheitsprogramm (CSP) von Swift hat das entwickelt Framework für Kundensicherheitskontrollen (CSCF), das jährlich aktualisiert wird. Die über 11.000 Mitglieder von Swift in mehr als 200 Ländern nutzen das CSCF, um ihre eigenen Sicherheitskontrollen zu planen und den Grad der Einhaltung der Vorschriften zu bestätigen.

Gemeinsam ist diesen Vorschriften, dass sie versuchen, hohe Standards für den Schutz von Daten und Transaktionen in der Finanzdienstleistungsbranche festzulegen. Die Einhaltung von Vorschriften schützt nicht nur Kundendaten und Geld, sondern trägt auch dazu bei, Institutionen vor den Folgen unzureichender Sicherheitsvorkehrungen zu schützen. Dazu können Bußgelder und Strafen für Verstöße, Rufschädigung und Vertrauensverlust der Anleger im Falle eines Verstoßes gehören.

Entwickler müssen mit einer sich verändernden regulatorischen Landschaft Schritt halten

Sichere Codierung ist ein solider Eckpfeiler für Organisationen, die die Erwartungen der geltenden Vorschriften und die Anforderungen des Office of the Comptroller of the Currency (OCC) in den Vereinigten Staaten oder der Europäischen Zentralbank (EZB) in Europa erfüllen wollen. Einer der grundlegenden Gründe für die Einführung der Plattform von Secure Code Warrior oder der eines anderen Anbieters besteht darin, Entwicklern sicheres Programmieren in einer praktischen, ansprechenden Umgebung beizubringen.

Diese Art der Schulung macht einen Unterschied, wenn es um manchmal komplexe regulatorische Anforderungen geht, insbesondere weil sie nicht statisch bleiben. Die Vorschriften entwickeln sich ständig weiter und fügen neue, oft anspruchsvollere Anforderungen hinzu. Je nach Anforderung ändert sich eine Vorschrift in einem bestimmten Jahr möglicherweise nicht dramatisch, aber Unternehmen können mindestens alle paar Jahre mit erheblichen Änderungen rechnen.

Zum Beispiel aktualisiert PCI DSS 4.0, das ab dem 1. April 2024 verpflichtend ist, PCI DSS 3.2.1 (veröffentlicht im Jahr 2022) auf mehrere wichtige Arten. Es implementiert einen maßgeschneiderten Ansatz, der Unternehmen mehr Flexibilität bei der Erfüllung von Anforderungen bietet und sich mehr auf Ergebnisse als auf Checkbox-Verfahren konzentriert. Es enthält aber auch neue Anforderungen an Authentifizierungskontrollen, Kennwortlängen und gemeinsame Konten, um nur einige der vielen Neuerungen zu nennen. Außerdem müssen Unternehmen die Rollen und Verantwortlichkeiten für die Erfüllung der einzelnen Anforderungen klar definieren.

Bezeichnenderweise verlangt Version 4.0 auch, dass Entwickler, die an maßgeschneiderter und kundenspezifischer Software arbeiten, mindestens alle 12 Monate in Bezug auf Softwaresicherheit geschult werden, einschließlich sicherer Entwurfs- und Codierungstechniken, und, falls Testtools verwendet werden, in der Verwendung der Tools zur Erkennung von Sicherheitslücken. Es sieht auch vor, dass jede bei Penetrationstests identifizierte Sicherheitslücke unabhängig von ihrem Schweregrad behoben wird und dass die Teams anschließend einen zweiten Penetrationstest durchführen, um die erfolgreiche Behebung zu bestätigen.

Obwohl Änderungen in der Regel schrittweise vorgenommen werden, sind Vorschriften auch ereignisgesteuert — ein schwerwiegender Verstoß kann zu plötzlichen, umfassenden Änderungen führen. Ein Verstoß gegen 87 Millionen JPMorgan Chase-Konten Mitte der 1990er Jahre erschütterte beispielsweise die regulatorische Landschaft. Die Aufsichtsbehörden erhöhten die Erwartungen an die Entwickler- und Technologiebranche und verlangten von den Banken, nachzuweisen, welche Maßnahmen sie ergriffen haben und wie sie die aus dem Verstoß gezogenen Lehren umgesetzt haben.

Compliance setzt auf die Qualität des zugrundeliegenden Codes

Die Qualität des Codes, der zur Erfüllung dieser Anforderungen verwendet wird, hat einen erheblichen Einfluss darauf, wie gut neue Funktionen funktionieren, und kann ins Spiel kommen, wenn Unternehmen den umfangreichen und detaillierten PCI-DSS-Compliance-Bericht ausfüllen, der jährlich erforderlich ist. Je komplexer die Vorschriften werden, desto größer werden die Auswirkungen der sicheren Codierung. Dies macht einen erheblichen Unterschied bei der Reduzierung von Risiken und der Erhöhung der Kontrolle über die Software eines Unternehmens aus.

Die Einhaltung von Vorschriften ist für Finanzinstitute von entscheidender Bedeutung, da es wichtig ist, Vertrauen bei den Kunden aufzubauen. Sichere Codierung kann auch dazu beitragen, das Kundenerlebnis zu verbessern, da vieles von der nahtlosen Interaktion mit zuverlässiger Software abhängt, die zur Stärkung der Kundenbindung beiträgt.

Die Programmierung, die in die Entwicklung neuer Anwendungen und Dienste einfließen muss, wirkt sich auf das gesamte Unternehmen aus. Es ist unerlässlich, um die Effizienz zu steigern, Cloud-Migrationen zu verwalten und andere Funktionen in einem schnelllebigen Geschäftsumfeld zu ermöglichen. Der Code muss jedoch unbedingt sicher sein und die Compliance-Anforderungen erfüllen, damit das Unternehmen erfolgreich sein kann.

Integrations

Read the no-nonsense guide to getting your development team on board with PCI DSS compliance, including how security professionals and development managers can work together to build powerful security programs.

Read Guide

TREND 3: AGILES LERNEN

Agiles Training und Teams mit menschlicher KI sorgen für sicheren Code

Die Verbreitung von KI-Modellen hat die Befürchtungen wiederbelebt, dass künstliche Intelligenz den Menschen viele Arbeitsplätze wegnehmen wird. Während Menschen in einigen Berufen — von der Buchhaltung und dem Kundenservice bis hin zu Juristen und Inhaltserstellern — vielleicht Grund zur Sorge haben, begrüßen Softwareentwickler eher KI als hilfreiche Assistenten, die ihnen nicht die Arbeit abnehmen, sondern ihnen einige zeitaufwändige oder sich wiederholende Aufgaben wie das Schreiben von Code abnehmen.

Das Schreiben von Code ist in der Tat nur ein Teil der Arbeit eines Entwicklers. In GitLabs Globaler DevSecOps-Bericht 2023, gaben die meisten Entwickler an, etwa ein Viertel ihrer Zeit damit zu verbringen, Code zu schreiben. Der Rest verteilt sich auf andere Aufgaben wie die Verbesserung des Codes (17%), das Testen (11%) und das Abhalten von Besprechungen oder die Durchführung anderer administrativer Aufgaben (ebenfalls 17%).

Die Verbesserung des Codes ist ein Aspekt der Arbeit, der wahrscheinlich an Bedeutung gewinnen wird, wenn KI-Modelle Code generieren. KI erhöht die Geschwindigkeit und Effizienz bei der Codeerstellung, aber diesem Code kann nicht vollständig vertraut werden. Es gibt unzählige Beispiele für Fehler, Vorurteile und anfälligen Code, der von KI-Modellen generiert wird. Entwickler mit Sicherheitskenntnissen müssen eng in die Überprüfung von KI-generiertem Code eingebunden werden, um Sicherheitslücken zu beheben und sicherzustellen, dass ihre Software den Entwicklungsstandards entspricht.

Entwickler benötigen praxisorientiertes, agiles Training

Für Entwickler selbst erfordert die Arbeit mit KI-generiertem Code, dass sie ihre vorhandenen Fähigkeiten in Bezug auf bewährte Sicherheitsmethoden und die Fähigkeit, schlechte Codierungsmuster zu erkennen, verbessern — und sich einige neue aneignen. Entwickler, die entsprechend geschult sind, werden in der Lage sein, die Fehltritte eines KI-Modells vor der Bereitstellung zu erkennen und die Vorteile des Einsatzes von KI zur Beschleunigung der Entwicklung zu nutzen.

Die erforderlichen Fähigkeiten sind jedoch komplex und können nicht durch einfache Anwendung statischer Standardtrainingsmethoden erlernt oder gestärkt werden. Entwickler sind nicht dafür bekannt, dass sie bei der Arbeit Freizeit haben — sie stehen mehr denn je unter Druck, Code schnell zu entwickeln und bereitzustellen. Sie müssen in der Lage sein, ihre Fähigkeiten so zu erweitern, dass sie zu der Arbeit passen, die sie bereits erledigen.

Unternehmen müssen Entwicklern ein vollständiges Programm von anbieten agiles Training das einen praktischen Ansatz für sichere Codierung verfolgt und der nachweislich die Anzahl der Sicherheitslücken in Software erheblich reduziert.

Agile-Schulungen können auf die Programmiersprachen zugeschnitten werden, auf die Entwickler stoßen werden, von uralten, aber immer noch verwendeten COBOL bis hin zu fortschrittlichen neuen Tools, die in Google Go geschrieben wurden. Es kann so konzipiert werden, dass fortgeschrittene Inhalte in Formaten bereitgestellt werden, die für die bevorzugten Lernmethoden des Entwicklers geeignet sind — z. B. visuell, auditiv oder mündlich sowie direkt in der Praxis — und das in einem Tempo, das am besten zu den einzelnen Entwicklern und ihren Arbeitsplänen passt.

Schulungen können auch auf die spezifischen Rollen und Bedürfnisse der Mitarbeiter zugeschnitten werden. Eine Plattform kann eine Feedback-Schleife nutzen, um Inhalte zu verbessern und zu erkennen, wenn ein Entwickler in einem bestimmten Bereich schwach ist, sodass die Inhalte automatisch auf diesen Bereich ausgerichtet werden können.

Und anstatt Sicherheitsschulungen in einem langwierigen und trockenen Präsenzkurs abzuhalten, bieten Lernprogramme wie die von Secure Code Warrior eine optimale, maßgeschneiderte Schulung, indem sie sie in interaktive Microbursts aufteilen, die Entwickler im Kontext realer Probleme einbeziehen. Microlearning steht den Mitarbeitern zudem jederzeit zur Verfügung, wenn sie es benötigen.

Ein agiler Ansatz bringt Ergebnisse

Agiles Training hat sich als wirksam bei der Reduzierung von Codierungsfehlern erwiesen. Laut Forschung von Secure Code Warrior, Entwickler überarbeiten bereits etwa 26% ihres Codes, bevor er in Produktion geht. Das entspricht etwa 13,5 Stunden pro Woche pro Entwickler (etwa 700 Stunden pro Jahr), die für die Bereinigung technischer Schulden aufgewendet werden. Die Stunden, die mit der Behebung von Code verbracht werden, beeinträchtigen die Produktivität und verlangsamen die Entwicklungszyklen.

Und nicht alle dieser Fehler werden erkannt. 67% der Entwickler geben zu, Code mit Sicherheitslücken ausgeliefert zu haben. Unternehmen verwenden auch Code aus anderen Quellen wie KI, Open-Source-Repositorys und Drittanbietern. Diese Quellen tragen dazu bei, die Produktivität in einer Zeit zu steigern, in der Unternehmen ein höheres Codevolumen als je zuvor benötigen, aber sie erhöhen auch das Risiko von Sicherheitslücken und Fehlern in der Codebasis.

Agiles Training kann dazu beitragen, diesen Trend einzudämmen. Es stärkt die erste Verteidigungslinie, da Entwickler besser darin sind, Fehler im Code zu erkennen, unabhängig davon, ob er von ihnen selbst, KI oder Dritten erstellt wurde. Im Rahmen seiner Recherchen untersuchte Secure Code Warrior Daten von 75.000 Entwicklern (etwa 30% seiner Basis) und stellte fest, dass Entwickler, die mithilfe seiner agilen Schulungen Sicherheit studiert hatten, 53% weniger Sicherheitslücken aufdeckten als ihre Mitbewerber. Entwickler, die diese Fähigkeiten auf die Überprüfung von KI-generiertem Code anwenden, können die Fehler ihrer KI-Partner schneller bereinigen, bevor Software in Produktion geht.

Mit der agilen Schulung von Secure Code Warrior erhielten die Entwickler von Workday, das Cloud-Anwendungen für das Lebenszyklusmanagement in den Bereichen Finanzen, Personalwesen und Studierenden/Fakultäten anbietet, eine klare Vorstellung davon, was mit der Schulung erreicht werden sollte, und lernten schnell, wie sie Probleme innerhalb ihrer Codebasis und ihres Softwarelebenszyklus erkennen und darauf reagieren können.

Die Erfahrung von Workday ist ein klares Beispiel dafür, was agile, praxisnahe Schulungen bewirken können. Vor der Zusammenarbeit mit Secure Code Warrior stellte Workday fest, dass die Entwickler von den Sicherheitsschulungen des Unternehmens, die auf einer Slideshow basierten, ernüchtert waren. Die gesamte Entwickler-Community reagierte jedoch positiv auf die Secure Code Warrior-Schulung, die sowohl auf ihre Bedürfnisse als auch auf ihre Lernpräferenzen zugeschnitten war. Und die Ergebnisse sprechen für sich. Um nur ein Beispiel zu nennen: In einem Team in Dublin waren es früher 4.662 Sicherheitsprobleme pro Jahr, in nur 18 Monaten gab es gar keine mehr.

In einer Bedrohungslandschaft mit immer raffinierteren Angriffen müssen Finanzdienstleister alles in ihrer Macht Stehende tun, um die Sicherheit von Daten und Anwendungen zu gewährleisten. Die Erstellung von sicherem Code zu Beginn des Softwareentwicklungszyklus (SDLC) ist eine wichtige Sicherheitskomponente. Entwickler mit der richtigen agilen Schulung können viel tun, um die Sicherheit von Software zu gewährleisten und gleichzeitig die Gesamtrisiken für ihr Unternehmen zu reduzieren.

Integrations

Learn how Workday focused on creating secure agile learning that drove developer engagement and helped achieve their goals of improving Workday’s overall security posture.

Learn More

TREND 4: WACHSTUM VON APPS UND APIs VON DRITTANBIETERN

Die Verantwortung für die Sicherheit gilt auch für Apps von Drittanbietern

In der heutigen hypervernetzten Geschäftsumgebung arbeitet kein Unternehmen im luftleeren Raum. Finanzinstitute gehen Partnerschaften mit anderen Unternehmen ein, um bestimmte Dienstleistungen anzubieten, nutzen Apps von Drittanbietern für die tägliche Kommunikation und Transaktionen und lassen in vielen Fällen externe Auftragnehmer Softwarecode schreiben. Entwickler innerhalb von Unternehmen nutzen auch Open-Source-Software-Repositorys und zunehmend KI-generierten Code bei der Entwicklung von Anwendungen.

Unabhängig von der Softwarequelle erwarten Mitarbeiter, die mit einem Finanzdienstleistungsunternehmen zusammenarbeiten, dass jede von ihnen verwendete Anwendung das gleiche hohe Sicherheitsniveau bietet. Bei jeder Transaktion oder jedem Informationsaustausch trägt das Hostunternehmen weiterhin die Verantwortung für die Daten des Kunden. Und die Aufsichtsbehörden werden nicht zulassen, dass eine Institution bei Nichteinhaltung der Vorschriften den schwarzen Peter auf Dritte abwälzt.

Wie stellt ein Finanzinstitut sicher, dass jede Anwendung sicher und zuverlässig ist? Es beginnt mit sicherem Code und damit, Entwicklern zu Beginn des Entwicklungsprozesses die Fähigkeiten zu vermitteln, die sie benötigen, um sicheren Softwarecode zu erstellen. Gleichzeitig wird festgestellt, wann der von ihnen verwendete Drittanbieter-Code nicht ausreicht.

Stellen Sie den Auftragnehmerteams Schulungen zur Verfügung

Unternehmen würden von der Implementierung eines agilen, praxisnahen Schulungsprogramms profitieren, um Entwicklern sicheren Code beizubringen. Die Ergebnisse dieser Art von Schulung liegen auf der Hand: Entwickler, die in sicherer Codierung geschult sind, produzieren Code mit 53% weniger Sicherheitslücken als Entwickler, die nicht geschult wurden. Und sie werden auch mehr Codierungsfehler im Code erkennen, der von Dritten generiert wurde.

Selbst wenn die eigenen Entwickler eines Unternehmens im Schreiben von sicherem Code geschult sind, müssen die potenziellen Fehler im Code von Drittanbietern behoben werden. Viele Entwicklerteams bestehen sowohl aus Vollzeitmitarbeitern (FTE) als auch aus Auftragnehmern, insbesondere in großen Institutionen mit weit verstreuten Standorten im ganzen Land oder auf der ganzen Welt, einschließlich Primär-, Sekundar- und Tertiärstandorten.

Vor ein paar Jahrzehnten gab es in der Branche einen großen Drang, die Softwareentwicklung auszulagern, damit Unternehmen mit der Nachfrage nach neuen Anwendungen Schritt halten konnten. Dieser Trend hielt fünf oder zehn Jahre an, bevor er begann, sich umzukehren, aber an einigen Standorten innerhalb von Finanzinstituten gibt es immer noch kombinierte Teams aus Vollzeitstellen und Auftragnehmern. Da so viele Anwendungen kontinuierlich weiterentwickelt werden, werden einige von ihnen ausgelagert werden.

Unabhängig davon, ob der Code von Vollzeitstellen oder Dritten entwickelt wurde, bleiben die Erwartungen von Kunden und Aufsichtsbehörden bestehen. Der gesamte Softwarecode, den ein Unternehmen verwendet, muss denselben Standards entsprechen, was bedeutet, dass alle Entwickler über das gleiche Kompetenzniveau verfügen.

Unternehmen haben möglicherweise vertragliche Beschränkungen, was die Anforderung von Schulungen für Auftragnehmer anbelangt, obwohl es wichtig ist, zumindest Schulungen anzubieten. Einige Finanzunternehmen haben ihre eigenen Schulungsprogramme ins Leben gerufen, wie zum Beispiel Capital One, das seine Technische Hochschule im Jahr 2016. Eine Reihe anderer Banken und Finanzunternehmen, wie Synchrony Bank und North American Bancard, befürworten die Idee der Agilität kontinuierliches Lernen um ihr Talent zu erhöhen.

Es ist möglich, dass Unternehmen sogar einen „License to Code“ -Ansatz verfolgen, bei dem bestimmte Zertifizierungen erforderlich sind, bevor Entwicklern Zugriff auf bestimmte Systeme gewährt wird.

Angesichts des anhaltenden Mangels an IT-Fachkräften haben sich Unternehmen dafür entschieden, aktuelle Mitarbeiter weiterzubilden, anstatt auf einem unterversorgten Markt um Talente zu konkurrieren. Die Bereitstellung von Schulungen kommt sowohl den Mitarbeitern zugute, die ihre eigene Karriere vorantreiben können, als auch dem Unternehmen, das die Mitarbeiter mit den Fähigkeiten ausstattet, die das Unternehmen benötigt. Schulungsprogramme können auch die Mitarbeiterbindung verbessern, indem sie die Mitarbeitererfahrung verbessern.

Kontinuierliches Lernen ist im aktuellen Umfeld wichtig. Die Cybersicherheitslandschaft entwickelt sich kontinuierlich weiter und wird immer ausgefeilter. Und auch die Anforderungen der Aufsichtsbehörden ändern sich jährlich, was die Einhaltung der Vorschriften immer komplexer macht. Die Nichteinhaltung dieser Anforderungen kann zu Bußgeldern, anderen Kosten und Reputationsschäden führen, die sich erheblich auf das Unternehmen auswirken.

Der Schlüssel liegt darin, Entwickler einzubeziehen

Unternehmen gehen weg von Compliance-Schulungen als lästige Checkbox-Übung mit einmal im Jahr stattfindenden Schulungen und hin zu ganzjährigen Schulungen, die das Engagement von Entwicklern und anderen Mitarbeitern in Bezug auf Sicherheit erhöhen sollen. Der Schlüssel liegt in einer agilen Plattform, die den Mitarbeitern die Schulungen bietet, die sie benötigen, wenn sie sie benötigen, und zwar in einem Format, das zu ihrer Arbeitsumgebung passt.

Zum Beispiel das in Großbritannien ansässige Unternehmen für Softwarelösungen Salbei, das die Plattform von Secure Code Warrior übernommen hat, führt vierteljährliche Schulungen durch, die auf die Technologie ausgerichtet sind, mit der Entwickler zu diesem Zeitpunkt arbeiten.

Die Schulung ist so weit wie möglich personalisiert und auch auf die Art und Weise zugeschnitten, wie die Entwickler gerne arbeiten, sagte Mads Howard, Sicherheitsspezialist bei Sage, kürzlich während einer Webinar mit SCW. Sage fördert auch die wechselseitige Kommunikation über eine Feedback-Schleife. Die Schulung konzentriert sich mehr auf das Engagement als auf die Einhaltung der Checkboxen. Es finden regelmäßig Turniere statt und es wird versucht, das Schulungsprogramm mit anderen Unternehmensinitiativen zu kombinieren, um das Engagement der Mitarbeiter in Sicherheitsfragen zu erhöhen.

Ein Ergebnis: Im vergangenen Jahr hat Sage die durchschnittliche Zeit, die zur Behebung von Softwareproblemen benötigt wird, um 82% reduziert, so Howard. Das Unternehmen verzeichnete auch ein höheres Maß an Engagement der Mitarbeiter.

Programmieren ist Teil des Aufbaus einer Sicherheitskultur, so Howard, mit dem ultimativen Ziel, Vertrauen bei den Kunden aufzubauen. Eine Sicherheitskultur dreht sich um die Einstellungen, Wahrnehmungen und Überzeugungen der Menschen und bezieht auch die Mitarbeiter im gesamten Unternehmen mit ein, einschließlich der Geschäftsleitung. Ein flexibles Schulungsprogramm für sicheren Code, das gezielte Schulungen in leicht verständlichen Microbursts bietet, kann ein wesentlicher Bestandteil dieser Kultur sein.

Integrations

Discover how Sage implemented best practices in building a secure code learning program, learn the do's and don'ts of a secure code learning program, and see the business and financial impacts including productivity gained and time saved.

Discover

‍TREND 5: VERSTÄRKTER FOKUS AUF DEN ROI ALLER TEAMS/ANBIETER

Wie sichere Codierung direkt der Kapitalrendite zugute kommt

Die Finanzdienstleistungsbranche deckt ein breites Spektrum von Sektoren ab, die vom Bankwesen und Finanzmanagement bis hin zu Kreditkarten- und digitalen Zahlungsdiensten reichen. Sogar Versicherungen fallen oft unter dieses Banner. Unternehmen in den einzelnen Branchen sehen sich mit unterschiedlichen, wenn auch sich häufig überschneidenden, Compliance-Anforderungen konfrontiert, je nachdem, welche Transaktionen sie abwickeln und ob es sich um inländische oder multinationale Unternehmen handelt.

Unabhängig davon, in welchem Bereich die Unternehmen tätig sind, wirken sich wirtschaftliche Überlegungen auf die Geschäftsstrategien aus. Den Aktienmärkten ging es gut, aber die Aktienmärkte sind nicht immer ein Indikator für zukünftige Erfolge. In der Zwischenzeit herrscht im Finanzsektor eine gewisse Besorgnis über die Möglichkeit einer Rezession und anderer kritischer Herausforderungen.

Infolgedessen schnallen viele Unternehmen den Gürtel enger, streben nach einer höheren Effizienz und betonen, wie wichtig es ist, für alle neuen Ausgaben eine gute Kapitalrendite (ROI) zu erzielen. Eine Möglichkeit, den ROI zu steigern, besteht darin, in sicheres Code-Lernen zu investieren. Im Softwareentwicklungszyklus (SDLC), in dem Technik und Sicherheit aufeinandertreffen, bringt es dem Unternehmen klare, quantifizierbare Vorteile, wenn zu Beginn des Prozesses ein sicherer Code erstellt wird und Fehler so früh wie möglich behoben werden.

Die hohen Kosten unsicherer Software

Daten sind das Herzstück jedes Finanzdienstleistungsinstituts, und die Kosten für den Umgang mit diesen Daten mit unsicherer, ineffizienter Software können schnell steigen. Secure Code Warriors Forschung stellte fest, dass Probleme mit der Softwarequalität US-Unternehmen im Jahr 2022 insgesamt 2,41 Billionen US-Dollar kosteten. Und die Kosten reichen bis hin zu den Entwicklern, die immer mehr Zeit mit der Wartung und Tilgung technischer Schulden verbringen. Entwickler verbringen derzeit etwa ein Drittel ihrer Zeit mit der Begleichung technischer Schulden, doch Prognosen zufolge wird dieser Anteil bis 2025 bei 40% liegen.

Agiles Training zu sicheren Codierungspraktiken kann diese negativen Zahlen erheblich verringern. Es wurde festgestellt, dass Entwickler, die mit Secure Code Warrior geschult wurden, 53% weniger Sicherheitslücken aufdecken als Kollegen, die nicht geschult wurden, und die Zeiten für die Behebung werden um die Hälfte reduziert. Eine große globale Bank verzeichnete dank SCW-Schulungen eine Reduzierung der Sicherheitslücken um 50%, wodurch SQL-Injection-Fehler und Cross-Site Scripting (XSS) praktisch ausgeschlossen wurden.

Die Vorteile des agilen Secure-Code-Trainings sind ebenfalls erheblich größer, je weiter sich ein Unternehmen nach links verlagert. Die Kosten für technische Schulden werden beispielsweise halbiert, wenn sie während der Tests behoben werden, aber sie werden um das 14-fache reduziert, wenn sie während der Programmierungsphase behoben werden.

Ein typisches Beispiel: Wie Envestnet seine Entwickler engagiert hat

Die Auswirkungen sicherer Codierung können zu messbaren Gewinnen des ROI führen. In ein Beispiel, wollte das große Finanztechnologieunternehmen Envestnet seine passiven Sicherheits- und Compliance-Schulungen „Death by PowerPoint“ hinter sich lassen, die sich hauptsächlich auf die zehn wichtigsten Risiken von Webanwendungen im Rahmen des Open Worldwide Application Security Project (OWASP) konzentrierten.

Envestnet verfolgte zu Beginn des SDLC eine Shift-Left-Strategie, die sich darauf konzentrierte, sicheren Code zu schreiben und alle Probleme zu lösen. Zunächst musste jedoch das mangelnde Engagement der Entwickler in den bestehenden Sicherheitsschulungen des Unternehmens behoben werden. Zusammen mit SCW implementierte das Unternehmen ein vierstufiges, praktisches Programm, das Schulungen an realen Szenarien beinhaltete und Entwicklern für jedes Leistungsniveau Zertifikate verlieh — nicht nur zur Verbesserung der Anwendungssicherheit, sondern half Entwicklern auch dabei, ihre Karriere voranzutreiben.

Die ersten beiden Stufen konzentrierten sich auf das Sicherheitsbewusstsein, und die Stufen drei und vier wurden als Sicherheitsexperten anerkannt. Das Schulungsprogramm umfasste auch Turniere, wodurch auch das Engagement der Entwickler gesteigert wurde. Zwischen den ersten beiden Turnieren, die im Abstand von etwa sechs Monaten stattfanden, verdoppelte sich die Teilnahme.

Die Ergebnisse: Entwickler mit SCW-Schulungen haben 2,7-mal mehr Sicherheitslücken behoben als ihre Mitbewerber, und sie steigerten ihre Behebungsraten um 120%. Entwickler mit SCW-Ausbildung schlossen außerdem Sicherheitslücken mit einer Rate von 4,5 pro Entwickler, verglichen mit einer Rate von 1,82 pro Entwickler bei ihren Kollegen, die nicht in den Genuss der Schulung kamen.

Wenn Sie links beginnen, verbessert sich das Endergebnis

Agile sichere Codierungsprogramme können für jedes Unternehmen maßgeschneidert werden, abhängig von der Art der von ihnen angebotenen Finanzdienstleistungen, der Größe ihrer Systeme und ihren individuellen Anforderungen.

Unternehmen müssen beispielsweise den Payment Card Industry Data Security Standard (PCI DSS), den OWASP Application Security Verification Standard (ASVS) oder andere Anforderungen einhalten. Und sie müssen sicherstellen, dass sie immer sicheren Code schreiben. Sie benötigen jedoch mehr als ein Schulungsprogramm, das lediglich ein Kästchen ankreuzt. Das reicht nicht aus, um sichere Codierungsmethoden zu vermitteln oder die erhöhten Effizienzniveaus zu erreichen, die mit gut ausgebildeten, sicherheitsbewussten Entwicklern einhergehen.

Praktische Schulungen, die eine Strategie unterstützen, sicheren Code früh im SDLC einzuführen und ihn während des gesamten Produktlebenszyklus beizubehalten, reduzieren das Risiko und beschleunigen die Markteinführung, was unweigerlich den ROI erhöht. Da Systeme, Prozesse und sogar Cyberangriffe immer ausgefeilter werden, ist eine sichere Codierung dringend erforderlich. Sie ist in der Lage, nicht nur in Bezug auf die Sicherheit einen entscheidenden Unterschied zu machen, sondern auch zum Geschäftsergebnis eines Unternehmens beizutragen.

Integrations

Explore how Envestnet adopted an agile secure code learning platform and tripled developer effectiveness in vulnerability reduction.

Explore

FAZIT

Sichere Codierung erhöht die Sicherheit und Produktivität und schafft gleichzeitig Vertrauen

Finanzdienstleister arbeiten mit sehr wertvollen Rohstoffen, nämlich dem Geld von Menschen und hochsensiblen persönlichen Daten, aber in gewisser Weise ist das Wertvollste, was Unternehmen haben können, Vertrauen. Dies ist unerlässlich, um treue Kunden zu gewinnen und zu halten. Und weil so viele Finanztransaktionen digital abgewickelt werden, hängen Zuverlässigkeit und Sicherheit von Software von sicherem Softwarecode ab.

In komplexen Hybrid-Cloud-Umgebungen müssen Finanzorganisationen nach links abrücken und Sicherheit zu Beginn des Softwareentwicklungszyklus (SDLC) einführen. Das bedeutet, Entwickler darin zu schulen, sicheren Code zu schreiben und in der Lage zu sein, Sicherheitslücken in KI-generiertem Code oder Code von Drittanbietern zu identifizieren.

Für viele Unternehmen ist dies ein kultureller Wandel, bei dem Entwickler es gewohnt sind, eine Meile pro Minute zu arbeiten und neue Anwendungen und Dienste zu entwickeln, um einer ständig steigenden Nachfrage gerecht zu werden. Der Schlüssel liegt darin, innerhalb eines Unternehmens eine Sicherheitskultur zu schaffen und Entwickler mit agilen, praktischen Sicherheitscode-Schulungen zu begeistern. Die Vorteile dieses Ansatzes liegen auf der Hand.

Förderung eines kulturellen Wandels, von dem beide Seiten profitieren

Die Forschung von Secure Code Warrior hat herausgefunden, dass Entwickler, die sichere Codierungspraktiken mit SCW erlernen, 53% weniger Sicherheitslücken erzeugen als Entwickler ohne Schulung, was zu einer erheblichen Zeit- und Geldersparnis führt.

Entwickler verschwenden derzeit etwa ein Drittel ihrer Zeit damit, Softwarecode zu überarbeiten. 67% von ihnen geben zu, Code ausgeliefert zu haben, von dem sie wussten, dass er Sicherheitslücken aufweist. SCW-Kunden konnten dank agilem Lernen sowohl die Risikominderung als auch die Produktivität der Entwickler um das Zwei- bis Dreifache steigern.

Und je weiter eine Organisation die Startpunkte im SDLC nach links verschiebt, desto größer sind die Einsparungen. Die Kosten können halbiert werden, wenn sie während der Tests berücksichtigt werden, aber sie können um das 14-fache reduziert werden, wenn sie während der Codierungsphase behoben werden.

Eine agile Trainingsplattform kommt sowohl dem Unternehmen als auch den Entwicklern zugute. Entwickler können ihre Karriere vorantreiben, indem sie neue Fähigkeiten erwerben, und das Unternehmen profitiert davon, da qualifizierte Entwickler mit größerer Wahrscheinlichkeit bei einem Unternehmen bleiben, das effektive Schulungen und eine lohnendere Berufserfahrung bietet.

Es ist kein Zufall, dass 92% der Entwickler angeben, dass sie mehr Training wünschen. Aber es muss die richtige Art von Training sein. Herkömmliche Compliance-Schulungen nach Vorschrift (oder nach der Slideshow) können zu Augenrollen und einer widerwilligen Akzeptanz führen, eine Anforderung zu erfüllen, aber eine agile Plattform wie die von SCW zieht Entwickler nachweislich an. Schulungen können an das, woran sie gerade arbeiten, und an die Programmiersprachen, mit denen sie arbeiten, angepasst werden. Und die Bereitstellung von Schulungen in Form von leicht verständlichen, zielgerichteten Microbursts, die sich mit aktuellen realen Problemen befassen, mit denen Entwickler konfrontiert sind, erhöht den Wert der Schulung und das Engagement.

Schulungen im Bereich Secure Code können ein Eckpfeiler eines kulturellen Wandels hin zu einer Organisation sein, bei der Sicherheit an erster Stelle steht. Dadurch werden die Cybersicherheit, Leistung und letztlich die Rentabilität eines Finanzdienstleisters verbessert.