Agile Security

Hacker, Viren, Datenlecks – im Zeitalter der Digitalisierung ist Anwendungssicherheit nicht Kür, sondern Pflicht. Und zwar von der Planung bis zur Implementierung. Mit uns klappt das.

Zurück zum Beratungsangebot
Novatec Technology Expertise Agile Security

Security First

Kommen die Penetrationstester:innen immer erst auf den letzten Drücker zu Ihnen? Das kann Sie teuer zu stehen kommen. Denn unsichere Anwendungen öffnen potenziellen Angreifenden Tür und Tor – und gefährden damit Ihre Unternehmensdaten und Ihren guten Ruf.

Gerade, weil Anwendungen und Systeme immer komplexer werden, sollten Sie bei Ihrer agilen Softwareentwicklung auf Nummer Sicher gehen. Auch uns liegt der Schutz Ihrer Anwendungen am Herzen. Deshalb deckt Agile Security, unser agiles Entwicklungsangebot, den gesamten Softwarelebenszyklus (Secure SDLC) ab – von der Planung über die Entwicklung bis zur Einführung.

Sie erhalten ein Rundum-Sorglos-Paket. Sprich, wir kümmern uns darum, dass Sie Ihre Anwendungen agil und sicher entwickeln und betreiben können. In der Cloud genauso wie vor Ort. Durch gezielte Workshops und Trainings unterstützen wir auch Ihre Mitarbeitenden sich zu Expert:innen im Bereich Security zu entwickeln.

Security ist kein Add-on

Was macht gute Software aus? Zum einen die Performance, zum anderen die Sicherheit. Doch leider zeigen unsere Erfahrungen: Die Sicherheit rückt bei Unternehmen zu oft ins zweite Glied. Und wie halten Sie es damit?

Spätestens seit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 sollte jeder das Thema Sicherheit ernst nehmen. Der Grund ist Art. 25 der DSGVO.

Dort wird gefordert, dass der Schutz personenbezogener Daten bereits im Entwicklungsstadium durch „geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung“ mit zu berücksichtigen ist. In dieselbe Stoßrichtung gehen die Richtlinien der ISO-Norm 27034 zum Thema IT-Anwendungssicherheit. Allerdings sieht die Realität meist anders aus. Viele Unternehmen gehen vor nach dem Prinzip „Wir testen Security hinein“ oder „Vor Produktiveinsatz machen wir einen Penetrationstest“. Aber das reicht bei weitem nicht aus, um Anwendungen ganzheitlich sicher zu machen. Deswegen ist der Aspekt Sicherheit bereits bei den Anforderungen zu berücksichtigen und muss dann fester Bestandteil der Software-Architektur, der Entwicklung, des Testings und des Betriebs sein.

Sicherheitstechnisch haben bereits die Software-Architekt:innen den Grundstein zu legen. Sie liefert den Entwickler:innen die „große Gesamtübersicht“ und damit die wichtigen Informationen, wie die jeweiligen Module untereinander zu verbinden und welche Sicherheitsaspekte bei den jeweiligen Modulen zu berücksichtigen sind.

Aktuelle Umfragen zeigen: Auf 100 Entwickler:innen kommt ein Experte bzw. eine Expertin für Security. Das ist alarmierend, denn Softwarezyklen verkürzen sich stetig; Software wird beinahe minütlich ausgeliefert. Somit wird klar: Das bisher gelebte Sicherheitsmodell à la „Wir testen Security in die Software hinein“ kann nicht mehr funktionieren.

Wir haben von Anfang an einen anderen Ansatz gewählt. Dabei kommt dem Sicherheitsaspekt eine entscheidende Rolle zu. Und zwar bilden wir Entwickler:innen zu „Security Champions“ weiter. Damit wird Sicherheit zu einem Herzstück des agilen Entwicklungsteams – und DevOps wird zu einer Secure DevOps (DevSecOps) Kultur.

Der Methodenbaukasten eines Security-Champions umfasst:

  • Verankern einer „Security Awareness“ im Team
  • Threat Modeling
  • Unterstützung bei Anforderungen hinsichtlich Security (Abuser Stories)
  • Security Code Reviews im Pairing mit den Entwickler:innen
  • SAST (Static Application Security Testing)
  • DAST (Dynamic Application Security Testing)
  • Web Application Security (OWASP Top Ten)
  • Monitoring/Metriken für Securityprobleme (Dashboards)
  • „Realtime“ Intrusion Detection (Automatische Erkennung von Angriffspatterns und Treffen von Gegenmaßnahmen)
  • Projekt-Bewertung mittels Security-Reifegrad-Modellen (z.B. OpenSAMM)
  • Ausbildung weiterer Security-Champions

Zwar ist die Implementierung von Sicherheitsaspekten eine zusätzliche Investition. Aber eine, die sich lohnt. Denn der Verlust sensibler Daten kann Sie teuer zu stehen kommen. Im Extremfall steht die Existenz Ihrer Firma auf dem Spiel. Bedenken Sie zudem: Muss Sicherheit nachträglich und konsistent in das Projekt eingebaut werden, ist der komplette SDLC (Software Development Lifecycle) mit Sicherheit zu versehen. Dies bringt neue Anforderungen mit sich, die wiederum eine neue Architektur erfordern – mit wieder neuen Modulen und Systemen.

Security Training for Developers

Sie wollen Security Profi werden? Wir helfen Ihnen dabei mit unserem Security Training for Developers!

Mehr zum Training

Success Story Optima

Agile Security im Packaging: Eine Sicherheitsarchitektur für die Verpackungsmaschinen von OPTIMA — als Grundlage für neue digitale Servicelösungen

Mit der zunehmenden Vernetzung von Maschinen und der erhöhten Nutzung digitaler Dienste steigen die Anforderungen an Maschinenhersteller in den Bereichen Konnektivität und IT-Sicherheit. Unternehmen haben immer wieder mit Cyber-Angriffen zu tun, die sie nur mit einer soliden Cyber-Security-Infrastruktur abwenden können. Erfahren Sie mehr in unserer Success Story.

Zur Success Story

Aktuelle Blogbeiträge

Ihr Ansprechpartner

Novatec_Andreas-Falk

Andreas Falk

Security Expert

Security

OAuth 2.0 und OpenID Connect Threat Modeling Sicherheit im IoT Zurück zum Beratungsangebot
Ihr Ansprechpartner Andreas Falk Security Expert
Novatec_Andreas-Falk
logo_white_stroke
Datenschutzeinstellungen

Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.

Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.