IT-Sicherheit

Zugleich mit der Komplexität von Softwaresystemen wächst auch die Gefahr von unerkannten Schwachstellen und „Einfallstoren“ für Cyber-Angriffe. Wir unterstützen Sie dabei, Ihre Software gegen Angreifer besser zu schützen und regulative Sicherheits- und Compliance-Anforderungen zu erfüllen. Dabei legen wir besonderen Wert auf „Security by construction“, also integrierte Sicherheitskonzepte, die schon während der Modellierung und Implementierung der Software berücksichtigt werden.

BEDROHUNGSANALYSEN MACHEN DIE RISIKEN GREIF- UND BEHERRSCHBAR

Eine Bedrohungs- und Risikoanalyse ist ein unentbehrlicher erster Schritt für effizientes Secure Software Engineering. Angriffsvektoren müssen gefunden und bewertet werden, z. B. durch die Modellierung der Datenflüsse und der Trust Boundaries oder durch die Analyse von Angriffsbibliotheken.

Wir liefern Ihnen ...

  • explizite Listen von Bedrohungen und deren Bewertung in Ihrem individuellen Systemkontext
  • transparente Modelle der Angriffsszenarien, eingebettet in Ihre Systemarchitektur
  • objektive Entscheidungsgrundlagen für Investitionen in Schutzmechanismen
  • individualisierte Maßnahmenpläne zur Absicherung Ihrer Systemarchitektur
  • eine Übersicht der Restrisiken, die sich bei Zurückstellung von Schutzmaßnahmen ergeben

SICHERE SOFTWARE „TOP-DOWN“

Um „Sicherheit von Anfang an“ zu gewährleisten, müssen etablierte Methoden zur Erfassung und Verfeinerung sicherheitsrelevanter Anforderungen auf die konkrete System- bzw. Softwarearchitektur angewendet werden. Die resultierenden Anforderungen werden dann als Änderungen in die bestehende Architektur eingebracht.

Wir unterstützen Sie bei der …

  • Modellierung sicherheitsrelevanter Szenarien im Rahmen Ihrer Systemarchitektur
  • Abbildung von Sicherheitsanforderungen durch Anpassung und Einsatz bewährter Prinzipien (z. B. Defence in Depth, Minimal Attack Surface oder Least Privilege)
  • kosteneffizienten Umsetzung von Anforderungen aus Normen und Standards
  • Einführung einer stringenten Methodik für „built in Security

DAS FUNDAMENT: SECURE CODING

Eine sichere Architektur wird ohne eine sichere Implementierung Stückwerk bleiben. Deshalb müssen die Freiheitsgrade der Entwicklung typischerweise zielgerichtet eingeschränkt werden, um die Software „secure by construction“ zu machen.

Wir erstellen für Sie …

  • pragmatische und praxisgerechte Programmierrichtlinien auf dem Stand der Technik
  • passend zugeschnittene Entwicklungswerkzeuge
  • Erweiterungen der Build- und Delivery-Pipelines mit Tools zur Security-Analyse
  • Hands-on-Trainings für Ihr Team

SECURE OPERATIONS“ GEWÄHRLEISTEN SICHERHEIT

Um IT-Security ganzheitlich abzudecken, muss auch der Betrieb der Software einbezogen werden. Hierbei spielen technische Themen wie etwa eine „abgehärtete“ Laufzeitumgebung,eine kontinuierliche Überwachung der Software, ein sicheres Deployment und ein konsequentes Patch-Management eine wichtige Rolle.

Wir helfen Ihnen dabei, …

  • SecDevOps zu etablieren
  • Strategien zur Absicherung Ihrer Systeme im Betrieb zu finden
  • Überwachungsmaßnahmen für den Betrieb zu definieren und zu priorisieren

SICHER VOM KONZEPT BIS ZUR AUSLIEFERUNG

Grundsätzlich muss für eine sichere Software-Entwicklung der gesamte Entwicklungsprozess analysiert und gegebenenfalls hinsichtlich der neuesten IT-Sicherheitsstandards angepasst werden. Auch und gerade bei agilen Vorgehensweisen besteht hier oft ein scheinbarer Widerspruch zur Flexibilität der Entwicklungsprozesse.

Wir unterstützen Sie dabei, …

  • bestehende Prozesse und Methoden im Hinblick auf Security-Aspekte pragmatisch zu erweitern
  • Durch ein motivierendes Coaching eine möglichst hohe Akzeptanz für veränderte Prozesse zu erreichen
  • trotz erhöhter Awareness für Security-Aspekte die Prinzipien einer leichtgewichtigen Entwicklung zu wahren

STELLEN SICH DIE SKEPTIKER IM TEAM QUER?

Erfahrungsgemäß besteht einer der wichtigsten Faktoren für die erfolgreiche Umsetzung von IT-Security-Konzepten in der intrinsischen Motivation des Entwicklungsteams.

Wir bieten Ihnen …

  • Erfahrungen aus und Vergleiche mit anderen realen Projektkontexten
  • eine kompetente externe „Stimme“, die den Bedarf an Security-Mechanismen für Ihr Team transparent macht
  • individualisierte Botschaften, um bestehende Risiken nachvollziehbar zu vermitteln

IT-SICHERHEIT JENSEITS DER REINEN ENTWICKLUNG

IT-Sicherheit in den entwickelten Produkten zu gewährleisten, geht in aller Regel auch mit Anpassungen der Geschäftsprozesse einher. Ein weit verbreitetes Beispiel hierfür ist die verpflichtende Etablierung von sogenannten Information Security Management Systems (ISMS).

Wir beraten Sie bei der …

  • Inventarisierung von sog. Third Party Software
  • Etablierung einer soliden Basis für ein effizientes, möglichst unbürokratisches ISMS
  • Abbildung entwicklungsnaher Aspekte des ISMS und der Security, wie z. B. Schutz von Testdaten
  • Integration des Incident Management mit architekturbasierten Impact-Analysen und Delivery Pipelines