Safety First

Kommen die Penetrationstester immer erst auf den letzten Drücker zu Ihnen? Das kann Sie teuer zu stehen kommen. Denn unsichere Anwendungen öffnen potenziellen Angreifern Tür und Tor – und gefährden damit Ihre Unternehmensdaten und Ihren guten Ruf.

Gerade, weil Anwendungen und Systeme immer komplexer werden, sollten Sie bei Ihrer agilen Softwareentwicklung auf Nummer Sicher gehen. Auch uns liegt der Schutz Ihrer Anwendungen am Herzen. Deshalb deckt Agile Security, unser agiles Entwicklungsangebot, den gesamten Softwarelebenszyklus (Secure SDLC) ab – von der Planung über die Entwicklung bis zur Einführung.

Sie erhalten ein Rundum-Sorglos-Paket. Sprich, wir kümmern uns darum, dass Sie Ihre Anwendungen agil und sicher entwickeln und betreiben können. In der Cloud genauso wie vor Ort.

Security ist kein Add-on

Was macht gute Software aus? Zum einen die Performance, zum anderen die Sicherheit. Doch leider zeigen unsere Erfahrungen: Die Sicherheit rückt bei Unternehmen zu oft ins zweite Glied. Und wie halten Sie es damit?

Spätestens seit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai dieses Jahres sollte jeder das Thema Sicherheit ernst nehmen. Der Grund ist Art. 25 der DSGVO.

Dort wird gefordert, dass der Schutz personenbezogener Daten bereits im Entwicklungsstadium durch „geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung“ mit zu berücksichtigen ist. In dieselbe Stoßrichtung gehen die Richtlinien der ISO-Norm 27034 zum Thema IT-Anwendungssicherheit. Allerdings sieht die Realität meist anders aus. Viele Unternehmen gehen vor nach dem Prinzip „Wir testen Security hinein“ oder „Vor Produktiveinsatz machen wir einen Penetrationstest“. Aber das reicht bei weitem nicht aus, um Anwendungen ganzheitlich sicher zu machen. Deswegen ist der Aspekt Sicherheit bereits bei den Anforderungen zu berücksichtigen und muss dann fester Bestandteil der Software-Architektur, der Entwicklung, des Testings und des Betriebs sein.

Sicherheitstechnisch hat bereits der Software-Architekt den Grundstein zu legen. Er liefert den Entwicklern die „große Gesamtübersicht“ und damit die wichtigen Informationen, wie die jeweiligen Module untereinander zu verbinden und welche Sicherheitsaspekte bei den jeweiligen Modulen zu berücksichtigen sind.

Aktuelle Umfragen zeigen: Auf 100 Entwickler kommt ein Security-Experte. Das ist alarmierend, denn Softwarezyklen verkürzen sich stetig; Software wird beinahe minütlich ausgeliefert. Somit wird klar: Das bisher gelebte Sicherheitsmodell à la „Wir testen Security in die Software hinein“ kann nicht mehr funktionieren.

Wir haben von Anfang an einen anderen Ansatz gewählt. Dabei kommt dem Sicherheitsaspekt eine entscheidende Rolle zu. Und zwar bilden wir Entwickler zu „Security Champions“ weiter. Damit wird Sicherheit zu einem Herzstück des agilen Entwicklungsteams – und DevOps wird zu einer Secure DevOps (DevSecOps) Kultur.

Der Methodenbaukasten eines Security-Champions umfasst:

  • Verankern einer „Security Awareness“ im Team
  • Threat Modeling
  • Unterstützung bei Anforderungen hinsichtlich Security (AbUser Stories)
  • Security Code Reviews im Pairing mit dem Entwickler
  • SAST (Static Application Security Testing)
  • DAST (Dynamic Application Security Testing)
  • Web Application Security (OWASP Top Ten)
  • Monitoring/Metriken für Securityprobleme (Dashboards)
  • „Realtime“ Intrusion Detection (Automatische Erkennung von Angriffspatterns und Treffen von Gegenmaßnahmen)
  • Projekt-Bewertung mittels Security-Reifegrad-Modellen (z.B. OpenSAMM)
  • Ausbildung weiterer Security-Champions

Zwar ist die Implementierung von Sicherheitsaspekten eine zusätzliche Investition. Aber eine, die sich lohnt. Denn der Verlust sensibler Daten kann Sie teuer zu stehen kommen. Im Extremfall steht die Existenz Ihrer Firma auf dem Spiel. Bedenken Sie zudem: Muss Sicherheit nachträglich und konsistent in das Projekt eingebaut werden, ist der komplette SDLC (Software Development Lifecycle) mit Sicherheit zu versehen. Dies bringt neue Anforderungen mit sich, die wiederum eine neue Architektur erfordern – mit wieder neuen Modulen und Systemen.

Ihr Ansprechpartner

Novatec_Andreas-Falk

Andreas Falk

Managing Consultant
Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen. Zur Datenschutzerklärung