Anwendungssicherheit 25.08.2021, 10:00 Uhr

Durch Spiel zu mehr Sicherheitsbewusstsein

AppSec- und Awareness-Trainings sind nur dann effektiv, wenn sie das Bewusstsein der Entwickler für die Sicherheit schärfen und ihnen die Fähigkeiten vermitteln, die sie brauchen, um sicheren Code zu erstellen.
(Quelle: dotnetpro)
Video-Tutorials, Vorlesungen, PowerPoint Slides, regelmäßiger Frontalunterricht und obligatorische Online-Kurse sind fester Bestandteil vieler AppSec-Initiativen – die dann aber oft scheitern. Warum ist das so? In erster Linie liegt das daran, dass all diese Ansätze nur als Checkliste wahrgenommen werden, die es abzuhaken gilt – nicht als wertvolles Tool zum Schutz der eigenen Anwendungen. Solange die Entwickler andere Prioritäten setzen, werden solche veralteten Schulungsansätze nicht den gewünschten Erfolg bringen.

Potenziale nutzen

Wo also den Hebel ansetzen? Effektive AppSec- und Awareness-Trainings sollten die Möglichkeiten und Werkzeuge ausschöpfen, die uns moderne Technologie heute bietet. Innovativen Mobile Apps gelingt es ja auch immer wieder, das Verhalten der User nachhaltig zu prägen. Das Stichwort lautet Gamifizierung – also die Anwendung von Game-Design-Elementen und Gaming-Prinzipien außerhalb des Kontexts eines Spiels. Die Vorteile von gamifizierten Trainings sind bekannt, werden im Bereich AppSec-Awareness bislang aber selten genutzt. Dabei eignet sich Gamifizierung sehr gut für Simulationen, etwa von Szenarien, bei denen Angreifer Schwachstellen ausnutzen und Verteidiger die Lücken schließen müssen. Es ist erwiesen, dass wir besser lernen und länger aufnahmefähig bleiben, wenn wir beim Lernen Spaß haben und eine aktive Rolle einnehmen. Entwickler verbringen nun mal einen Großteil ihres Tages vor einem Bildschirm und sezieren Codezeilen. Da wissen sie lockere und spielerische Trainings weitaus mehr zu schätzen als langweilige Lektionen, die tiefe Konzentration erfordern – und lernen dabei erfahrungsgemäß auch mehr.

Interaktivität und Storytelling

Ein Riesenvorteil von gamifizierten AppSec-Trainings ist also, dass ich interaktiv schulen kann. So ermögliche ich es Teilnehmern, Inhalte unmittelbar und emotional aufzunehmen und mache es ihnen wesentlich leichter, das vermittelte Wissen zu behalten. Die Interaktivität sorgt dafür, dass die Entwickler dem Inhalt ihre volle Aufmerksamkeit widmen, was die Chance erhöht, dass sie etwas lernen und behalten. Das ist besonders wichtig, wenn man bedenkt, dass viele Menschen durch Handeln und Erleben effektiver lernen als durch Hören und Sehen. Interaktivität kommt den Bedürfnissen der Zielgruppe entgegen, ganz besonders dann, wenn das interaktive Schulungsmaterial in kleinen Dosen sofort konsumiert werden kann – etwa, wenn man lernt, einen soeben aufgetretenen Fehler zu beheben. Diese Unmittelbarkeit schließt die Lücke zwischen Theorie und Praxis und macht es ungleich leichter, das Gelernte zu behalten. Denn sind wir einmal ehrlich: Etwas in der Theorie zu lernen, was ich erst in einer Woche praktisch anwenden kann, bringt niemanden so richtig weiter.
Der zweite große Vorteil liegt im Storytelling – dass ich also eine Geschichte erzählen kann. Storytelling steht nicht umsonst auch bei vielen Spielen im Fokus und ist ein wichtiger Spaß-Katalysator. AppSec-Trainings in Form von Bullet-Points, Q&As und öden Textwüsten sind zäh wie Kaugummi – Stories dagegen stimulieren und binden ein. Wirksame Schulungsprogramme leben von Stories, Charakteren und Problemen, die es zu lösen gilt. Wenn ich meinen Entwicklern Charaktere präsentiere, in deren Haut sie schlüpfen können und eine Storyline, der sie folgen können, habe ich schon einen großen Schritt in Richtung nachhaltiger Lernerfolg gemacht. Als Beispiel sei eine Schwachstelle genannt, die behoben werden muss.

Turniere als Motivationsinstrument

Voll ausgeschöpft ist das Potenzial an dieser Stelle allerdings noch nicht. Vielmehr ist damit die Pflicht erfüllt. Jetzt kommt die Kür: Interaktive Geschichten sind wichtig, um AppSec- und Awareness-Trainings zu etablieren. Aber auch dem Gewinn einer Trainings-Session, also etwa der erfolgreichen Behebung der Schwachstelle, kommt eine Schlüsselrolle zu. Die Freude an individuellen, persönlichen Siegen ist das Salz in der Suppe und ein wichtiger Anreiz, immer wieder in eine gamifizierte Lernumgebung zurückzukehren.
Ein weiterer ist der Wettbewerbsaspekt: Sich mit anderen in einem größeren Rahmen zu messen, ist ein bewährtes Motivationsinstrument. Und hier kommen Turniere ins Spiel. AppSec- und Awareness-Trainings als Live-Wettbewerbe also, bei denen sich Entwickler mit ihren Kollegen im Lösen von AppSec-Aufgaben messen. Als Unternehmen kann ich Turniere beispielsweise zum Launch oder Abschluss eines Trainingsprogramms und im Rahmen regelmäßiger AppSec-Awareness-Events nutzen. Das Format vermittelt wichtige Skills rund um das sichere Coding und die Behebung von Schwachstellen – und das in einer energiegeladenen Umgebung, in der die Entwickler freundschaftliche Rivalitäten auf einem dynamischen Leaderboard austragen und Challenges innerhalb festgelegter Zeitlimits knacken. Als positiven Nebeneffekt erhalte ich ein klares Bild von den Skills meines Teams und eine erste Baseline, um Fortschritte zu tracken und Ziele zu setzen. Und: Ich kann mich vom ersten Tag an auf die Problemfelder konzentrieren, in denen der Schulungsbedarf am höchsten ist.

Kontextbezug als Schlüssel zu nachhaltiger User-Bindung

Nun ist klassischer Frontalunterricht ja nicht nur deswegen ineffizient, weil es an spielerischen Elementen fehlt – es fehlt auch an Kontext. Dieses Problem gilt es auch bei gamifizierten AppSec-Trainings zu umschiffen. Ein modernes, gamifiziertes AppSec-Training aufzusetzen, ist wichtig, damit die Entwickler es tatsächlich nutzen und damit trainieren. Ohne die Trainingseinheiten im richtigen Kontext bereitzustellen, komme ich allerdings nicht weit – und mache mir womöglich meine harte Arbeit zunichte. Sobald ich meine Devs aus der Entwicklungsumgebung reiße, durchbreche ich die täglichen Abläufe und mache es ihnen schwer, sich konkrete Probleme ins Gedächtnis zu rufen. Der Input sollte deshalb genau dort bereitgestellt werden, wo er gebraucht wird: beim Coden. Können die Entwickler bei der Arbeit jederzeit auf die Inhalte zugreifen – und zwar direkt aus der Entwicklungsumgebung heraus – werden sie die Lektionen zuverlässig aufrufen, sobald eine Schwachstelle auftaucht. Das Geheimnis erfolgreicher AppSec-Trainings ist es, sie so in die täglichen Abläufe der Entwickler einzubinden, dass sie stets nur einen Klick entfernt sind. Und wie so häufig gilt auch hier: In der Kürze liegt die Würze. Denn mit kurzen Lektionen steigt die Wahrscheinlichkeit, dass sich die Teilnehmer darauf einlassen. Zeit ist für Entwickler eine kostbare Ressource, also sollten die Schulungen möglichst kompakt sein.

Fazit

Auch wenn es verführerisch ist, technische Themen in einer simplen Checkliste zusammenzufassen, ist dies der falsche Weg, um das Bewusstsein der Entwickler für die Gefahren in der Application Security zu schärfen und nachhaltige Verhaltensänderungen zu bewirken. Trainings sind am effektivsten, wenn sie auf eine konkrete Verhaltensweise oder Fähigkeit ausgerichtet sind, in einem für die Entwickler relevanten Kontext vermittelt werden und zeitnah umsetzbar sind. Im Bereich AppSec-Awareness empfehlen sich gamifizierte und kontextbasierte Trainings, die mit Hilfe von immersiven Simulationen und Live-Aktivitäten das prozedurale, erklärende und erfahrungsbasierte Verständnis der Cybersecurity erweitern.
CxCodebashing – die AppSec- und Awareness-Training-Plattform von Checkmarx
Passt zum täglichen Workflow Ihrer Entwickler: CxCodebashing gliedert sich nahtlos in die Prozesse und die Umgebung Ihrer Entwickler ein. Die Lösung lenkt sie nicht ab, und zwingt sie auch nicht, die gewohnte Oberfläche zu verlassen. Im Zusammenspiel mit CxSAST weist CxCodebashing Ihre Entwickler automatisch auf die konkreten Schwachstellen hin, die in ihrem Alltag auftreten. Die Lösung zeigt dabei nicht nur auf, welche Probleme bei einem CxSAST-Scan erkannt wurden, sondern erklärt auch, wie es zu der Schwachstelle kam und wie sie korrigiert werden kann.
Für Enterprise-Umgebungen ausgelegt: Codebashing bietet Ihnen standardmäßig anspruchsvolle, für Enterprise-Umgebungen optimierte Management-, Kommunikations- und Analyse-Tools, die es Ihnen leicht machen, die Lösung für 10 bis über 10.000 User zu skalieren. Die Lösung setzt dabei einen klaren Fokus auf Compliance und wird Ihre Entwickler für die Compliance-Vorgaben von GDPR, PCI DSS, NIST 800-53 und HIPAA sensibilisieren.
Quelle: Christopher Brennan
Dr. Christopher Brennan zeichnet als Regional
Director für die DACH- und CEE-Region beim Application-Security-Anbieter Checkmarx verantwortlich.


Das könnte Sie auch interessieren