Zugleich mit der Komplexität von Softwaresystemen wächst auch die Gefahr von unerkannten Schwachstellen und „Einfallstoren“ für Cyber-Angriffe. Wir unterstützen Sie dabei, Ihre Software gegen Angreifer besser zu schützen und regulative Sicherheits- und Compliance-Anforderungen zu erfüllen. Dabei legen wir besonderen Wert auf „Security by construction“, also integrierte Sicherheitskonzepte, die schon während der Modellierung und Implementierung der Software berücksichtigt werden.
Eine Bedrohungs- und Risikoanalyse ist ein unentbehrlicher erster Schritt für effizientes Secure Software Engineering. Angriffsvektoren müssen gefunden und bewertet werden, z. B. durch die Modellierung der Datenflüsse und der Trust Boundaries oder durch die Analyse von Angriffsbibliotheken.
Um „Sicherheit von Anfang an“ zu gewährleisten, müssen etablierte Methoden zur Erfassung und Verfeinerung sicherheitsrelevanter Anforderungen auf die konkrete System- bzw. Softwarearchitektur angewendet werden. Die resultierenden Anforderungen werden dann als Änderungen in die bestehende Architektur eingebracht.
Eine sichere Architektur wird ohne eine sichere Implementierung Stückwerk bleiben. Deshalb müssen die Freiheitsgrade der Entwicklung typischerweise zielgerichtet eingeschränkt werden, um die Software „secure by construction“ zu machen.
Um IT-Security ganzheitlich abzudecken, muss auch der Betrieb der Software einbezogen werden. Hierbei spielen technische Themen wie etwa eine „abgehärtete“ Laufzeitumgebung,eine kontinuierliche Überwachung der Software, ein sicheres Deployment und ein konsequentes Patch-Management eine wichtige Rolle.
Grundsätzlich muss für eine sichere Software-Entwicklung der gesamte Entwicklungsprozess analysiert und gegebenenfalls hinsichtlich der neuesten IT-Sicherheitsstandards angepasst werden. Auch und gerade bei agilen Vorgehensweisen besteht hier oft ein scheinbarer Widerspruch zur Flexibilität der Entwicklungsprozesse.
Erfahrungsgemäß besteht einer der wichtigsten Faktoren für die erfolgreiche Umsetzung von IT-Security-Konzepten in der intrinsischen Motivation des Entwicklungsteams.
IT-Sicherheit in den entwickelten Produkten zu gewährleisten, geht in aller Regel auch mit Anpassungen der Geschäftsprozesse einher. Ein weit verbreitetes Beispiel hierfür ist die verpflichtende Etablierung von sogenannten Information Security Management Systems (ISMS).