IT-Sicherheit

Zugleich mit der Komplexität von Softwaresystemen wächst auch die Gefahr von unerkannten Schwachstellen und „Einfallstoren“ für Cyber-Angriffe. Wir unterstützen Sie dabei, Ihre Software gegen Angreifer besser zu schützen und regulative Sicherheits- und Compliance-Anforderungen zu erfüllen. Dabei legen wir besonderen Wert auf „Security by construction“, also integrierte Sicherheitskonzepte, die schon während der Modellierung und Implementierung der Software berücksichtigt werden.

Eine Bedrohungs- und Risikoanalyse ist ein unentbehrlicher erster Schritt für effizientes Secure Software Engineering. Angriffsvektoren müssen gefunden und bewertet werden, z. B. durch die Modellierung der Datenflüsse und der Trust Boundaries oder durch die Analyse von Angriffsbibliotheken.

• explizite Listen von Bedrohungen und deren Bewertung in Ihrem individuellen Systemkontext
• transparente Modelle der Angriffsszenarien, eingebettet in Ihre Systemarchitektur
• objektive Entscheidungsgrundlagen für Investitionen in Schutzmechanismen
• individualisierte Maßnahmenpläne zur Absicherung Ihrer Systemarchitektur
• eine Übersicht der Restrisiken, die sich bei Zurückstellung von Schutzmaßnahmen ergeben

Um „Sicherheit von Anfang an“ zu gewährleisten, müssen etablierte Methoden zur Erfassung und Verfeinerung sicherheitsrelevanter Anforderungen auf die konkrete System- bzw. Softwarearchitektur angewendet werden. Die resultierenden Anforderungen werden dann als Änderungen in die bestehende Architektur eingebracht.

• Modellierung sicherheitsrelevanter Szenarien im Rahmen Ihrer Systemarchitektur
• Abbildung von Sicherheitsanforderungen durch Anpassung und Einsatz bewährter Prinzipien (z. B. Defence in Depth, Minimal Attack Surface oder Least Privilege)
• kosteneffizienten Umsetzung von Anforderungen aus Normen und Standards
• Einführung einer stringenten Methodik für „built in Security“

Eine sichere Architektur wird ohne eine sichere Implementierung Stückwerk bleiben. Deshalb müssen die Freiheitsgrade der Entwicklung typischerweise zielgerichtet eingeschränkt werden, um die Software „secure by construction“ zu machen.

• pragmatische und praxisgerechte Programmierrichtlinien auf dem Stand der Technik
• passend zugeschnittene Entwicklungswerkzeuge
• Erweiterungen der Build- und Delivery-Pipelines mit Tools zur Security-Analyse
• Hands-on-Trainings für Ihr Team

Um IT-Security ganzheitlich abzudecken, muss auch der Betrieb der Software einbezogen werden. Hierbei spielen technische Themen wie etwa eine „abgehärtete“ Laufzeitumgebung,eine kontinuierliche Überwachung der Software, ein sicheres Deployment und ein konsequentes Patch-Management eine wichtige Rolle.

• SecDevOps zu etablieren
• Strategien zur Absicherung Ihrer Systeme im Betrieb zu finden
• Überwachungsmaßnahmen für den Betrieb zu definieren und zu priorisieren

Grundsätzlich muss für eine sichere Software-Entwicklung der gesamte Entwicklungsprozess analysiert und gegebenenfalls hinsichtlich der neuesten IT-Sicherheitsstandards angepasst werden. Auch und gerade bei agilen Vorgehensweisen besteht hier oft ein scheinbarer Widerspruch zur Flexibilität der Entwicklungsprozesse.

• bestehende Prozesse und Methoden im Hinblick auf Security-Aspekte pragmatisch zu erweitern
• Durch ein motivierendes Coaching eine möglichst hohe Akzeptanz für veränderte Prozesse zu erreichen
• trotz erhöhter Awareness für Security-Aspekte die Prinzipien einer leichtgewichtigen Entwicklung zu wahren

Erfahrungsgemäß besteht einer der wichtigsten Faktoren für die erfolgreiche Umsetzung von IT-Security-Konzepten in der intrinsischen Motivation des Entwicklungsteams.

• Erfahrungen aus und Vergleiche mit anderen realen Projektkontexten
• eine kompetente externe „Stimme“, die den Bedarf an Security-Mechanismen für Ihr Team transparent macht
• individualisierte Botschaften, um bestehende Risiken nachvollziehbar zu vermitteln