Die Sicherheit von Software ist in einer zunehmend digitalisierten Welt von zentraler Bedeutung. Doch gerade in Großbritannien zeigt sich derzeit eine spürbare Kluft zwischen den Forderungen der staatlichen Cyber-Agenturen und der Haltung namhafter Technologieunternehmen sowie Branchenvertretern. Die Debatte dreht sich um die Frage, wie das offensichtlich mangelhafte Software-Qualitätsniveau effektiv verbessert und verlässlich auf einem hohen Sicherheitsstandard gehalten werden kann. Im Fokus der Diskussion steht die National Cyber Security Centre (NCSC), die Cyber-Abteilung des britischen Geheimdiensts GCHQ, deren CTO Ollie Whitehouse wiederholt darauf hingewiesen hat, dass der gegenwärtige Markt für Sicherheitssoftware nicht richtig funktioniere. Nach Whitehouse werden Unternehmen, die in sichere Produkte investieren, nicht ausreichend belohnt, während die Risiken und Folgen von unsicheren Produkten meist von den Kunden, also Organisationen und öffentlichen Stellen, getragen werden.
Die NCSC fordert deshalb Interventionen, um die Sicherheitsbranche dazu zu bewegen, höhere Standards zu erfüllen. Es geht sowohl darum, Anreize zu schaffen und gute Leistungen zu honorieren, als auch diejenigen zu bestrafen, die wiederholt Sicherheitslücken ausliefern und somit das gesamte Ökosystem gefährden. Whitehouse betont, dass ohne solch eine Steuerung im Markt die bekannten Schwachstellen in Software weiterhin jahrzehntelang bestehen bleiben und die Verwundbarkeit steigen wird. Diese Forderungen stoßen allerdings auf erheblichen Widerstand bei großen Industrievertretern. Führungskräfte von Unternehmen wie Vodafone, Mandiant und Sage bezweifeln, dass Softwarehersteller absichtlich auf Sicherheit verzichten, um Kosten zu sparen oder Profit zu maximieren.
Vielmehr sehen sie den Markt als grundsätzlich funktionierend an, in dem die Kunden letztlich die Richtung vorgeben. Wenn Unternehmen Sicherheitsmerkmale höher priorisieren, so ist die Überzeugung, würden Anbieter entsprechende sichere Produkte liefern. Dies sei eine natürliche Marktdynamik, in der Versagen durch Wettbewerbsdruck schnell aufgedeckt und bestraft werde. Besonders der Gedanke strafender Maßnahmen für unsichere Software wird von Industrievertretern skeptisch betrachtet. Sie warnen vor einer Überregulierung, die Innovation und Schnelligkeit im Softwaremarkt beeinträchtigen könnte.
Stattdessen plädieren sie für eine bessere Informations- und Beratungspolitik, damit Kunden die richtigen Sicherheitsanforderungen stellen und gezielter einkaufen können. Ein zentrales Problem ist die jahrzehntelange Existenz immer wiederkehrender, sogenannter „unverzeihlicher“ Sicherheitslücken, etwa Directory Traversal Bugs, die große Softwareanbieter oftmals teils unzureichend beheben. Das führt zu hohen technischen Schulden und gibt kriminellen Akteuren Angriffspunkte, die in der Folge vielfach zum Schaden von Unternehmen und Institutionen ausgeschlachtet werden. Um diesen Herausforderungen zu begegnen, setzt die NCSC auf die Etablierung verbindlicher Software-Sicherheitsstandards auf internationaler Ebene. Ähnlich wie das EU-weit bekannte NCAP-Programm für die Sicherheit von Fahrzeugen könnten solche Standards als objektive Bewertungsgrundlage dienen, die Vertrauen schaffen und den Wettbewerb um Sicherheit fördern.
Die jüngst eingeführte Software Security Code of Practice der NCSC ist ein Schritt in diese Richtung und folgt auf den Erfolg des bereits etablierten AI Cyber Security Code of Practice. Ziel ist es, multiplizierbare, allgemein anerkannte Kriterien zu schaffen, auf deren Grundlage Kunden bewusster einkaufen und Verträge gestalten können. Die jagt nach einem „Vertrauens-Volvo“ der Technologiebranche böte zudem den Vorteil, dass renommierte, sichere Anbieter stärker am Markt wachsen, während unsichere durch mangelnde Compliance und Kundenabwanderung langfristig unter Druck geraten. Dennoch bleibt offen, wie konsequent solche Standards durchgesetzt werden können und ob sie nicht die Flexibilität des Marktes beeinträchtigen würden. Eine wesentliche Rolle könnten dabei die Cyber-Versicherer spielen, die durch ihre Risikoanalysen und Vertragsanpassungen bereits heute erheblichen Einfluss auf die Sicherheitspraktiken von Organisationen ausüben.
Indem Versicherer großen und mittelständischen Unternehmen Anforderungen bezüglich Basisschutz und Reaktionsfähigkeit bei Cyberangriffen stellen, setzen sie implizite Sicherheitsmaßstäbe. Manche Experten schlagen vor, dass Versicherer zukünftig auch für Softwareanbieter Haftpflichten übernehmen oder entsprechende Prämienstaffelungen einführen könnten, um schlechte Praktiken zu sanktionieren und gute zu belohnen. Allerdings ist die Rolle der Versicherungen ambivalent, da ihre Produkte wiederum auch als Anreiz für Attacken dienen können: Kriminelle nehmen bevorzugt Organisationen ins Visier, die versichert sind, da eine höhere Wahrscheinlichkeit zur Lösegeldzahlung besteht. Dennoch bleibt der Einfluss der Versicherer auf das Sicherheitsniveau ein oft unterschätztes, aber wirkmächtiges Instrument. Neben staatlichen Stellen und Versicherern sind auch Normungsorganisationen und internationale Gremien gefragt, die Standards wie die der NCSC bestätigen und weltweit verbreiten.
Die erwartete Anerkennung durch Institutionen wie NIST oder ENISA ist essentiell, damit Sicherheitsstandards zum festen Bestandteil öffentlicher und privater Beschaffungsprozesse werden und somit durch Kundenvorgaben verbindlichen Charakter erhalten. Die NCSC ist der Überzeugung, dass es in wenigen Jahren praktisch so selbstverständlich sein wird, Software mit Sicherheitslabels zu kaufen, wie es heute Lebensmittel mit Zutaten- und Herkunftsangaben sind. Mit einer „Lebensmitteletikettierung“ für Software will sie Transparenz schaffen und die Auswahl von vertrauenswürdigen Produkten erleichtern. Ein solches Vorgehen könnte tiefgreifende Impulse für den globalen Cybersicherheitsmarkt geben und schadhafte Software aus dem Verkehr ziehen. Die Branche steht allerdings vor der Herausforderung, diese Sicherheitsansprüche mit der Schnelligkeit und Flexibilität moderner Softwareentwicklung in Einklang zu bringen.
Agile Methoden, kontinuierliche Updates und die Vielzahl komplexer Abhängigkeiten innerhalb von Software-Ökosystemen erschweren eine starre Regulierung. Dennoch wächst der Druck, klare Definitionen zu schaffen, was auf dem Gebiet der Sicherheit „unverzeihlich“ bzw. unverzichtbar ist. Ein weiterer Faktor, der den Diskurs prägt, ist die Rolle der Nutzer und Kunden. Viele Cyber-Sicherheitsprobleme resultieren nicht nur aus fehlerhafter Software, sondern auch aus unzureichender Ressourcenallokation, mangelhafter interner Sicherstellung und fehlendem Know-how in Unternehmen.
Die Forderung nach mehr Eigenverantwortung beim Einkauf und der Nutzung sicherheitsrelevanter Produkte ist daher Teil der Argumentation der Industrievertreter. Zusammenfassend zeigt sich, dass der Konflikt um die Bekämpfung von schlechter Software ein Spiegelbild der komplexen Dynamik zwischen staatlicher Regulierung, Marktkräften und technischer Innovation ist. Die NCSC und ihre Verbündeten sehen in einem stärkeren ordnungspolitischen Eingreifen und klar definierten internationalen Sicherheitsstandards einen Weg zur nachhaltigen Verbesserung der Cybersicherheit. Dem gegenüber stehen Stimmen aus der Wirtschaft, die auf die selbstregulierende Kraft des Marktes und die Eigenverantwortung von Kunden setzen. Im Kern geht es um eine Zäsur in der Art und Weise, wie Softwarequalität und -sicherheit in Zukunft bewertet, verglichen und durchgesetzt werden.
Der Ausgang dieser Debatte wird maßgeblich bestimmen, ob Cyberangriffe durch vermeidbare Softwarefehler weiter in dem Maße zunehmen, wie in den letzten Jahrzehnten, oder ob ein neues Zeitalter der digitalen Sicherheit anbricht. Während die technischen Herausforderungen gewaltig sind, zeigt sich in der Diskussion auch, dass neben Technologie vor allem Transparenz, Vertrauen und eindeutige Kriterien Schlüssel für eine zukunftsfähige Cyberabwehr sind. Die kommenden Jahre werden zeigen, ob Großbritannien – und womöglich die Welt – durch eine enge Zusammenarbeit zwischen Staat und Industrie neue Standards etablieren kann, die uns alle wirksam schützen.
