Security

In der Enterprise Softwareentwicklung gewinnt das Qualitätsmerkmal Sicherheit zunehmend an Bedeutung. Traditionelle Ansätze, bei denen die Sicherheit erst am Ende von Meilensteinen durch Sicherheitstests berücksichtigt wird, führen jedoch oft zu erheblichen Beeinträchtigungen in Bezug auf Zeit und Budget. Dies hat zur Folge, dass Softwaresicherheit oft als Bremse wahrgenommen wird.

Immer mehr Leistungen werden heute über die Cloud bereitgestellt. Doch während die Cloud zahlreiche Vorteile bietet, wie zum Beispiel Skalierbarkeit, Flexibilität und ein reduzierter IT-Administrationsaufwand, wirft sie auch Sicherheitsfragen auf – sowohl für den Cloud-Anbieter als auch für die nutzenden Unternehmen. Daher wird häufig das Modell der geteilten Verantwortung eingesetzt: Cloud-Anbieter und Kunde teilen sich die Verantwortung für die Cloud-Sicherheit.

Im Rahmen des Projekts „Codeanalyse von Open Source Software“ (CAOS) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde der Programmcode gängiger Open-Source-Projekte auf Schwachstellen untersucht. Security-Expert:innen von mgm durften das BSI dabei unterstützen. Ziel der Untersuchungen waren zwei Videokonferenzsysteme und zwei eID-Templates, die mithilfe der Schwachstellenanalyse dazu beitragen sollen, die Sicherheit von Open Source Software zu erhöhen. Die Ergebnisse des CAOS-Projektes sind im Sommer 2023 veröffentlicht worden.

Während sich Low-Code-Ansätze zunehmender Beliebtheit erfreuen, rücken auch Sicherheitsaspekte stärker in den Fokus. Mit den OWASP Low Code/No-Code Top 10 wurde kürzlich eine Liste der häufigsten Sicherheitsrisiken veröffentlicht, die Organisationen bei der Entwicklung und dem Einsatz von Low-Code-Anwendungen beachten sollten. Wir fassen zusammen, inwiefern die Punkte A12-Anwendungen betreffen.

In einem straffen Softwareentwicklungsprozess wird die Qualitätssicherung anfällig, wenn Herausforderungen und Risiken zunehmen. Diese belasten Zeit und Ressourcen und mindern die Qualität. Eine Auseinandersetzung mit diesen Aspekten ist unerlässlich, insbesondere im Hinblick auf Produktqualität, Zeit und Ressourcen.

Bei der Bedrohungsmodellierung (Threat Modeling) können verschiedene Methoden gewählt werden, um ein Gesamtbild der Schwachstellen einer Anwendung und der verschiedenen Abhilfemaßnahmen zu erhalten. Fast alle verfügbaren Methoden basieren darauf, dass ein digitales System zunächst über seine Architektur definiert wird. Frühe Entscheidungen über die Architektur können daher große Auswirkungen haben.

Security-Testing-Tools in der DevSecOps-Pipeline – Wie man automatisiert niedrig hängende Früchte erntet." heißt der Workshop, den Robin Herrmann auf dem IT Security Summit 2023 in Berlin leitet.

Im Bereich der Sicherheit von Webanwendungen und mobilen Apps ist die Bedrohungsmodellierung (engl. Threat Modeling) vor allem eine Methode, ein bewusstes Risikomanagement durchzuführen. Obwohl sich die Techniken unterscheiden: Das Grundprinzip besteht immer darin, mit ihrer Hilfe die Risiken einer Anwendung oder eines IT-Systems zu ermitteln und – noch wichtiger – sich darüber zu einigen, welche Risiken im Detail bestehen.

mgm wird auf den Software Quality Days vom 23. bis 25. Mai 2023 mit einer starken Beteiligung an Vorträgen in den Disziplinen "DevSecOps" und "Entwicklungsbegleitende Qualitätssicherung" sowie einem Informationsstand vertreten sein.

Nach rund einjähriger Vorbereitung, Planung und Umsetzung gehört mgm technology partners zu den ISO/IEC 27001-zertifizierten Unternehmen. Dafür wurden die wichtigsten Risiken der Informationssicherheit identifiziert, Schutzmaßnahmen definiert und Prozesse zur Beobachtung aufgesetzt.