IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

VerbündeteEntwickler und DevOps-Teams sind oft das größte Hindernis für die Anwendungssicherheit – und ihre wichtigsten Verbündeten. Für Entwickler zählt Geschwindigkeit. Umständliche Sicherheitsrichtlinien eines Application-Security-(AppSec-)Programms erscheinen ihnen daher oft als unnötige Hindernisse, die es zu umschiffen gilt. Doch wenn das Entwicklerteam nicht an Bord ist, kommt das gesamte Programm zum Stillstand, bevor es richtig begonnen hat.

Ein erfolgreiches AppSec-Programm basiert daher auf einem Verständnis für die Bedürfnisse von Entwicklern und deren Anforderungen an Anwendungssicherheit. Eine gelungene Kommunikation wirkt Wunder – die folgenden Best Practices sollen dabei helfen, Entwicklerteams zu Verbündeten in Sachen Sicherheit zu machen.

  • Kooperation von Anfang an
    Entwickler und DevOps sind am besten von Anfang an dabei – von der Planung des AppSec-Programms bis zur Umsetzung sollten sie ihre Expertise einbringen können. Das Sicherheitsteam kann dadurch Assessment-Protokolle entwickeln, die den Entwicklungszyklus der Software nicht behindern, sondern den Prozess und das Finden von Schwachstellen erleichtern. Wer sich schon vor dem Launch des neuen Programms die Unterstützung der Entwickler sichert, erhöht zudem die Wahrscheinlichkeit, dass die Sicherheitsprotokolle und -regeln später eingehalten werden. Sie werden das Programm eher annehmen, wenn sie die Möglichkeit haben, Protokolle zu beeinflussen. So werden Entwicklerteams vom unwilligen Befehlsempfänger zum starken Partner.
     
  • Das Schweigen brechen
    Wenn Projekte scheitern, dann meist an ineffektiver Kommunikation. Durch sie entstehen Unruhe, Misstrauen und Missverständnisse. Sicherheitsteams können eine Menge gewinnen, wenn sie sich dafür einsetzen, die Silos verschiedener Abteilungen einzureißen. Eine Arbeitsgruppe etwa kann dafür sorgen, dass Entwickler mit den Anforderungen aus allen Richtungen besser vertraut gemacht werden, zudem fördern sie einen Austausch der Teams. Es lohnt sich, einen „Security Champion“ im Entwicklerteam zu finden: einen Entwickler, der sich für Sicherheit interessiert und als gutes Beispiel vorangeht. Der Champion kann auch die Arbeit des Sicherheitsteams mit direktem Feedback verbessern. Er weiß, wie die Entwickler die Strategie annehmen und welche konkreten Änderungen in der Praxis sinnvoll wären.
     
  • Den Entwicklungsprozess verstehen
    Entwickler wollen reibungslose Abläufe. Nur wer den Entwicklungsprozess versteht, kann die benötigten Sicherheitsabläufe an den sinnvollen Stellen integrieren, ohne die etablierten Arbeitsabläufe zu stören. Die Leiter der Entwicklungsteams können dem Sicherheitsteam zu Beginn dabei helfen, die Entwicklungs-Frameworks des Unternehmens zu umreißen. Das Sicherheitsteam sollte im Gegenzug die Verantwortung für die Priorisierung von Schwachstellen übernehmen. Traditionell ist die Sicherheitsabteilung dafür bekannt, Entwickler mit Massen an Fehlern zu überschütten, die alle „wichtig“ und „sofort zu reparieren“ sind. Wer einmal lügt, dem glaubt man nicht – daher sollten von Anfang an echte Prioritäten gesetzt werden; das Sicherheitsteam sollte Entwickler mit Strategien für die kritischsten Schwachstellen versorgen, um ihnen die Arbeit zu erleichtern.
     
  • Sicherheitswissen vermitteln
    Im Umkehrschluss müssen Entwickler mehr über Anwendungssicherheit lernen. Dies ist essenziell für das Gelingen eines AppSec-Programms. Sie sollten über Schwachstellen, potenzielle Gefahren und Best Practices in sicherer Entwicklung auf dem Laufenden sein, sowie über Sicherheitstrends und aktuelle Risiken Bescheid wissen. Eine Umfrage von Veracode ergab, dass Unternehmen, die eLearning für diese Belange einsetzen, knapp 30 Prozent mehr Schwachstellen reparieren konnten als solche ohne eLearning. Das macht einen riesigen Unterschied im Hinblick auf Risiko und potenzielle Kosten für Unternehmen aus. Die Mischung verschiedener Trainingsarten ist besonders effektiv: Kurse vor Ort, externe Experten, die beim Threat Modelling von Anwendungen unterstützen, sowie eLearning und Basis-Sicherheitstrainings – um nur ein paar Formen zu nennen.

Am Ende geht es darum, den Entwicklungsprozess zu verstehen, und Sicherheit möglichst reibungslos darin zu integrieren – ohne die Ziele der Anwendungssicherheit aus den Augen zu lassen. Eine effektive Kommunikation mit aktiver Beteiligung der Entwickler ist hier die beste Voraussetzung, gepaart mit einem intelligenten Weiterbildungsprogramm.

Arved Graf von StackelbergArved Graf von Stackelberg, Director Central Europe bei Veracode

Arved Graf von Stackelberg leitet das Kontinentaleuropa-Geschäft für den Anwendungssicherheits-Spezialisten Veracode. Neben mehr als zwölf Jahren Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungssicherheits- und Entwicklungsumfeld bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf von Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, dass diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet