VERANSTALTUNGEN

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Transformation World 2018
07.11.18 - 08.11.18
In Print Media Academy, Heidelberg

DIGITAL FUTUREcongress
08.11.18 - 08.11.18
In Congress Center Essen

Data Driven Business Konferenz
13.11.18 - 14.11.18
In Berlin

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

VerbündeteEntwickler und DevOps-Teams sind oft das größte Hindernis für die Anwendungssicherheit – und ihre wichtigsten Verbündeten. Für Entwickler zählt Geschwindigkeit. Umständliche Sicherheitsrichtlinien eines Application-Security-(AppSec-)Programms erscheinen ihnen daher oft als unnötige Hindernisse, die es zu umschiffen gilt. Doch wenn das Entwicklerteam nicht an Bord ist, kommt das gesamte Programm zum Stillstand, bevor es richtig begonnen hat.

Ein erfolgreiches AppSec-Programm basiert daher auf einem Verständnis für die Bedürfnisse von Entwicklern und deren Anforderungen an Anwendungssicherheit. Eine gelungene Kommunikation wirkt Wunder – die folgenden Best Practices sollen dabei helfen, Entwicklerteams zu Verbündeten in Sachen Sicherheit zu machen.

  • Kooperation von Anfang an
    Entwickler und DevOps sind am besten von Anfang an dabei – von der Planung des AppSec-Programms bis zur Umsetzung sollten sie ihre Expertise einbringen können. Das Sicherheitsteam kann dadurch Assessment-Protokolle entwickeln, die den Entwicklungszyklus der Software nicht behindern, sondern den Prozess und das Finden von Schwachstellen erleichtern. Wer sich schon vor dem Launch des neuen Programms die Unterstützung der Entwickler sichert, erhöht zudem die Wahrscheinlichkeit, dass die Sicherheitsprotokolle und -regeln später eingehalten werden. Sie werden das Programm eher annehmen, wenn sie die Möglichkeit haben, Protokolle zu beeinflussen. So werden Entwicklerteams vom unwilligen Befehlsempfänger zum starken Partner.
     
  • Das Schweigen brechen
    Wenn Projekte scheitern, dann meist an ineffektiver Kommunikation. Durch sie entstehen Unruhe, Misstrauen und Missverständnisse. Sicherheitsteams können eine Menge gewinnen, wenn sie sich dafür einsetzen, die Silos verschiedener Abteilungen einzureißen. Eine Arbeitsgruppe etwa kann dafür sorgen, dass Entwickler mit den Anforderungen aus allen Richtungen besser vertraut gemacht werden, zudem fördern sie einen Austausch der Teams. Es lohnt sich, einen „Security Champion“ im Entwicklerteam zu finden: einen Entwickler, der sich für Sicherheit interessiert und als gutes Beispiel vorangeht. Der Champion kann auch die Arbeit des Sicherheitsteams mit direktem Feedback verbessern. Er weiß, wie die Entwickler die Strategie annehmen und welche konkreten Änderungen in der Praxis sinnvoll wären.
     
  • Den Entwicklungsprozess verstehen
    Entwickler wollen reibungslose Abläufe. Nur wer den Entwicklungsprozess versteht, kann die benötigten Sicherheitsabläufe an den sinnvollen Stellen integrieren, ohne die etablierten Arbeitsabläufe zu stören. Die Leiter der Entwicklungsteams können dem Sicherheitsteam zu Beginn dabei helfen, die Entwicklungs-Frameworks des Unternehmens zu umreißen. Das Sicherheitsteam sollte im Gegenzug die Verantwortung für die Priorisierung von Schwachstellen übernehmen. Traditionell ist die Sicherheitsabteilung dafür bekannt, Entwickler mit Massen an Fehlern zu überschütten, die alle „wichtig“ und „sofort zu reparieren“ sind. Wer einmal lügt, dem glaubt man nicht – daher sollten von Anfang an echte Prioritäten gesetzt werden; das Sicherheitsteam sollte Entwickler mit Strategien für die kritischsten Schwachstellen versorgen, um ihnen die Arbeit zu erleichtern.
     
  • Sicherheitswissen vermitteln
    Im Umkehrschluss müssen Entwickler mehr über Anwendungssicherheit lernen. Dies ist essenziell für das Gelingen eines AppSec-Programms. Sie sollten über Schwachstellen, potenzielle Gefahren und Best Practices in sicherer Entwicklung auf dem Laufenden sein, sowie über Sicherheitstrends und aktuelle Risiken Bescheid wissen. Eine Umfrage von Veracode ergab, dass Unternehmen, die eLearning für diese Belange einsetzen, knapp 30 Prozent mehr Schwachstellen reparieren konnten als solche ohne eLearning. Das macht einen riesigen Unterschied im Hinblick auf Risiko und potenzielle Kosten für Unternehmen aus. Die Mischung verschiedener Trainingsarten ist besonders effektiv: Kurse vor Ort, externe Experten, die beim Threat Modelling von Anwendungen unterstützen, sowie eLearning und Basis-Sicherheitstrainings – um nur ein paar Formen zu nennen.

Am Ende geht es darum, den Entwicklungsprozess zu verstehen, und Sicherheit möglichst reibungslos darin zu integrieren – ohne die Ziele der Anwendungssicherheit aus den Augen zu lassen. Eine effektive Kommunikation mit aktiver Beteiligung der Entwickler ist hier die beste Voraussetzung, gepaart mit einem intelligenten Weiterbildungsprogramm.

Arved Graf von StackelbergArved Graf von Stackelberg, Director Central Europe bei Veracode

Arved Graf von Stackelberg leitet das Kontinentaleuropa-Geschäft für den Anwendungssicherheits-Spezialisten Veracode. Neben mehr als zwölf Jahren Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungssicherheits- und Entwicklungsumfeld bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf von Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, dass diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

 

GRID LIST
Tb W190 H80 Crop Int 58ca3616158103dd884e54c7116a9610

Fünf Probleme von Legacy-Anwendungen in Sachen DSGVO

Die DSGVO stellt die Software von Unternehmen vor große Herausforderungen. Das gilt…
Tb W190 H80 Crop Int 8cd1cf947e0733b774daaef67ad0fe06

Diese Fehler können Sie bei der Softwareeinführung vermeiden

Bei der Einführung einer neuen Software in einem Betrieb kann eine Menge schief gehen.…
Tb W190 H80 Crop Int 6cb1bdb913d35e8ca6e6e36eab01c91f

Die Anforderungen an eine moderne Buchhaltungssoftware

In Sachen Buchhaltungssoftware bietet der Markt ein breites Angebot an unterschiedlichen…
Microservices

Die 3 Herausforderungen bei der Migration auf Microservices

Mehr als 70 Prozent aller Unternehmen beschäftigen sich aktuell mit Microservices. Viele…
Open Source

Open Source Software: Die Vorteile richtig nutzen

Immer mehr IT-Experten setzen auf Open Source Software. Die Vorteile sind deutlich: Open…
Oliver Burgstaller

Drei häufige Probleme bei der Anwendungsperformance

Manche Dinge ändern sich nie – zum Beispiel Probleme mit der Application Performance. In…
Smarte News aus der IT-Welt