IT-Sicherheit in allen Phasen der Softwareentwicklung

Ein Sicherheitsproblem in einer bereits existierenden Software nachträglich zu beheben, ist um ein Vielfaches teurer als dieses bereits in der Planung zu identifizieren und zu vermeiden. In einem Secure Software Development Lifecycle (Secure SDLC), wird die Informationssicherheit von Anfang an und in allen Phasen der Entwicklung mit einbezogen: So lassen sich Agile Entwicklung und IT-Sicherheit vereinbaren und gleichzeitig Kosten und Aufwand sparen. Dabei werden in einem Secure SDLC DevSecOps-Prozesse und Tools zur Automatisierung von Sicherheitsprüfungen verwendet, um den manuellen Arbeitsaufwand möglichst gering zu halten.

Ein Modell zur Implementierung eines Secure SDLC ist der von Microsoft entwickelte Security Development Lifecycle (Microsoft SDL), welcher den Entwicklungszyklus in die Phasen Training, Requirements, Design, Implementation, Verification, Release und Response aufteilt und zu jeder Phase Prozesse und Tools liefert, durch die die Informationssicherheit des Produkts gewährleistet wird. Kernidee des Secure SDL ist es, den Fokus ebenso weit auf die Sicherheit einer Applikation zu legen, wie auch auf die Funktionalität – und dabei alle Stakeholder mit einzubeziehen, um eine möglichst ganzheitliche Sicherheit zu garantieren.

Security Development Lifecycle

Dazu kommen in den verschiedenen Phasen unterschiedliche Methoden zum Einsatz: Etwa eine Bedrohungsanalyse in der Design-Phase, regelmäßige dynamische Analysen, Fuzzing oder Penetrationstests in der Verification-Phase oder statische Codeanalysen in der Implementation-Phase. Um einen erfolgreichen Secure SDLC zu implementieren, ist es essentiell, dass alle Mitarbeiter ein Bewusstsein für die IT-Sicherheit entwickeln – daher ist in der Training-Phase beispielsweise ein Workshop zur Sensibilisierung für IT-Sicherheit durchzuführen. Weiterhin wird die Gewährleistung der Informationssicherheit auch nach der Fertigstellung eines Produkts berücksichtigt: In der Release-Phase wird ein Security Review durchgeführt und ein Incident-Response-Plan erstellt. Dieser liefert bei einem Sicherheitsvorfall Anweisungen zur Schadensminimierung und zur Vereitelung weiterer Angriffe und stellt sicher, dass Sie gut auf Angriffe vorbereitet sind.

Diese vielfältigen Dimensionen der IT-Sicherheit in allen Phasen und Bereichen zu beachten kann schnell überfordern: Daher unterstützen wir Sie gerne dabei, die Informationssicherheit in Ihren SDLC zu integrieren und helfen Ihnen die entsprechenden Prozesse zu erstellen. So können Sie sichere Software schneller und zuverlässiger entwickeln.

Kontakt

Unsere Dienstleistungen:

  • Beratung zu allen Phasen des Secure SDLC
  • Beratung zum Microsoft Security Development Lifecycle (Microsoft SDL)
  • Unterstützung bei der Auswahl von passenden Softwarelösungen
  • Unterstützung bei der Auswahl und Integration von Tools in CI/CD-Pipelines
  • Entwicklung von Prozessen und Richtlinien für IT-Sicherheit
  • Durchführung von Workshops zur Sensibilisierung für IT-Sicherheit