In der Praxis ist es für Hersteller keine leichte Aufgabe, einen ausgeprägten Sicherheitsgedanken kontinuierlich in komplexe Softwareprojekte zu integrieren. Stephan Neumann, Head of usd HeroLab, und Torsten Schlotmann, Head of PCI Security Services, sprechen in unserer Blogserie über praktikable Ansatzpunkte und Möglichkeiten, die Sicherheit von Software dennoch wirksam zu verbessern.
- Teil 1: Gründe für mehr Sicherheit
- Teil 2: Sicherheit in die Unternehmenskultur verankern
- Teil 3: Anforderungs- und Bedrohungsanalyse
- Teil 4: Statische Codeanalyse
- Teil 5: Dynamische Codeanalyse und Vulnerability Management
Es gibt viele Gründe warum Sicherheit als ‚business as usual‘ in den Alltag und in alle Phasen des Entwicklungsprozesses verankert und integriert werden sollte. In Teil 2 unserer Serie haben wir unsere beiden Experten gefragt, an welchen Stellen man am besten ansetzen kann.
Stephan Neumann: „Für den Entwicklungsprozess von sicherer Software gibt es kein Universalrezept. Ansatzpunkte sind für jedes Unternehmen individuell. Doch mit der Zeit haben sich Best Practices entwickelt, die sehr gut funktionieren. Deshalb ist meine Empfehlung, Sicherheit in die Unternehmenskultur zu integrieren. Es ist wichtig, dass das Umsetzen von nötigen Maßnahmen zum Standard, zur gelernten Praxis wird. Das Thema Sicherheit muss an Komplexität verlieren und idealerweise der Zustand erreicht werden, bei dem die Fachabteilungen Sicherheit nicht mehr als Mehraufwand empfinden. Eine Möglichkeit diesen Zustand zu erreichen, ist die Ausbildung von Kolleginnen und Kollegen aus den Fachabteilungen zu sogenannten Security Champions. Diese bringen eine gewisse Grundkenntnis von IT Security durch privates Interesse, ihre vorherigen Tätigkeiten oder ihre Ausbildung mit. Security Champions können ganz normale Entwicklerinnen und Entwickler sein, die neben ihren alltäglichen Aufgaben einen besonderen Blick auf Sicherheit haben. Sie können intern bei der Interpretation von Schwachstellen unterstützen oder bei externen Sicherheitsüberprüfungen als Ansprechpartnerinnen und -partner fungieren. Auf die Frage nach der optimalen Anzahl an Security Champions, gemessen an Projekt- oder Teamgröße, kann ich nur sagen: In einem normal großen Team wäre bereits ein Security Champion eine absolut wunderbare Sache.“
Torsten Schlotmann: „Diese Erfahrung habe ich auch bei den Audits unserer Kunden gemacht. Im Idealfall ist der Security Champion jemand aus dem jeweiligen Entwicklungsteam, denn dieser kennt die Herausforderungen der Abteilung genau und kann gleichzeitig als qualifizierte Ansprechperson für Sicherheitsfragen fungieren. Tendenziell nehmen die Fachkolleginnen und -kollegen die Hinweise des internen Security Champions eher an, da sie nicht das Gefühl haben, jemanden aus einer zentralen Sicherheitsorganisation für diese Rolle zugeordnet zu bekommen, der ihre Arbeit von ‚außen‘ bewertet - sondern es ist jemand aus dem Team, der perfekt integriert ist und sich von innen heraus direkt einbringen kann.“