VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

VerbündeteEntwickler und DevOps-Teams sind oft das größte Hindernis für die Anwendungssicherheit – und ihre wichtigsten Verbündeten. Für Entwickler zählt Geschwindigkeit. Umständliche Sicherheitsrichtlinien eines Application-Security-(AppSec-)Programms erscheinen ihnen daher oft als unnötige Hindernisse, die es zu umschiffen gilt. Doch wenn das Entwicklerteam nicht an Bord ist, kommt das gesamte Programm zum Stillstand, bevor es richtig begonnen hat.

Ein erfolgreiches AppSec-Programm basiert daher auf einem Verständnis für die Bedürfnisse von Entwicklern und deren Anforderungen an Anwendungssicherheit. Eine gelungene Kommunikation wirkt Wunder – die folgenden Best Practices sollen dabei helfen, Entwicklerteams zu Verbündeten in Sachen Sicherheit zu machen.

  • Kooperation von Anfang an
    Entwickler und DevOps sind am besten von Anfang an dabei – von der Planung des AppSec-Programms bis zur Umsetzung sollten sie ihre Expertise einbringen können. Das Sicherheitsteam kann dadurch Assessment-Protokolle entwickeln, die den Entwicklungszyklus der Software nicht behindern, sondern den Prozess und das Finden von Schwachstellen erleichtern. Wer sich schon vor dem Launch des neuen Programms die Unterstützung der Entwickler sichert, erhöht zudem die Wahrscheinlichkeit, dass die Sicherheitsprotokolle und -regeln später eingehalten werden. Sie werden das Programm eher annehmen, wenn sie die Möglichkeit haben, Protokolle zu beeinflussen. So werden Entwicklerteams vom unwilligen Befehlsempfänger zum starken Partner.
     
  • Das Schweigen brechen
    Wenn Projekte scheitern, dann meist an ineffektiver Kommunikation. Durch sie entstehen Unruhe, Misstrauen und Missverständnisse. Sicherheitsteams können eine Menge gewinnen, wenn sie sich dafür einsetzen, die Silos verschiedener Abteilungen einzureißen. Eine Arbeitsgruppe etwa kann dafür sorgen, dass Entwickler mit den Anforderungen aus allen Richtungen besser vertraut gemacht werden, zudem fördern sie einen Austausch der Teams. Es lohnt sich, einen „Security Champion“ im Entwicklerteam zu finden: einen Entwickler, der sich für Sicherheit interessiert und als gutes Beispiel vorangeht. Der Champion kann auch die Arbeit des Sicherheitsteams mit direktem Feedback verbessern. Er weiß, wie die Entwickler die Strategie annehmen und welche konkreten Änderungen in der Praxis sinnvoll wären.
     
  • Den Entwicklungsprozess verstehen
    Entwickler wollen reibungslose Abläufe. Nur wer den Entwicklungsprozess versteht, kann die benötigten Sicherheitsabläufe an den sinnvollen Stellen integrieren, ohne die etablierten Arbeitsabläufe zu stören. Die Leiter der Entwicklungsteams können dem Sicherheitsteam zu Beginn dabei helfen, die Entwicklungs-Frameworks des Unternehmens zu umreißen. Das Sicherheitsteam sollte im Gegenzug die Verantwortung für die Priorisierung von Schwachstellen übernehmen. Traditionell ist die Sicherheitsabteilung dafür bekannt, Entwickler mit Massen an Fehlern zu überschütten, die alle „wichtig“ und „sofort zu reparieren“ sind. Wer einmal lügt, dem glaubt man nicht – daher sollten von Anfang an echte Prioritäten gesetzt werden; das Sicherheitsteam sollte Entwickler mit Strategien für die kritischsten Schwachstellen versorgen, um ihnen die Arbeit zu erleichtern.
     
  • Sicherheitswissen vermitteln
    Im Umkehrschluss müssen Entwickler mehr über Anwendungssicherheit lernen. Dies ist essenziell für das Gelingen eines AppSec-Programms. Sie sollten über Schwachstellen, potenzielle Gefahren und Best Practices in sicherer Entwicklung auf dem Laufenden sein, sowie über Sicherheitstrends und aktuelle Risiken Bescheid wissen. Eine Umfrage von Veracode ergab, dass Unternehmen, die eLearning für diese Belange einsetzen, knapp 30 Prozent mehr Schwachstellen reparieren konnten als solche ohne eLearning. Das macht einen riesigen Unterschied im Hinblick auf Risiko und potenzielle Kosten für Unternehmen aus. Die Mischung verschiedener Trainingsarten ist besonders effektiv: Kurse vor Ort, externe Experten, die beim Threat Modelling von Anwendungen unterstützen, sowie eLearning und Basis-Sicherheitstrainings – um nur ein paar Formen zu nennen.

Am Ende geht es darum, den Entwicklungsprozess zu verstehen, und Sicherheit möglichst reibungslos darin zu integrieren – ohne die Ziele der Anwendungssicherheit aus den Augen zu lassen. Eine effektive Kommunikation mit aktiver Beteiligung der Entwickler ist hier die beste Voraussetzung, gepaart mit einem intelligenten Weiterbildungsprogramm.

Arved Graf von StackelbergArved Graf von Stackelberg, Director Central Europe bei Veracode

Arved Graf von Stackelberg leitet das Kontinentaleuropa-Geschäft für den Anwendungssicherheits-Spezialisten Veracode. Neben mehr als zwölf Jahren Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungssicherheits- und Entwicklungsumfeld bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf von Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, dass diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

 

GRID LIST
Tb W190 H80 Crop Int 17b1ee0023b79297c73bbdfd2cfff860

Neue ISMS-Software INDITOR ISO von Contechnet

Der deutsche Softwarehersteller Contechnet veröffentlicht die neue Version seiner…
Tb W190 H80 Crop Int 9445048e0180f2f03856c3ee718783e1

Neue Version von InLoox 10

InLoox hat seine Projektmanagement-Lösung in einer neuen Version auf den Markt gebracht.…
Tb W190 H80 Crop Int C642ab343b9d4c6ebbd4ac47bfb56451

Commvault vereinfacht Portfolio mit Komplettlösung

Commvault (NASDAQ: CVLT) simplifiziert sein Portfolio sowie seine Preisgestaltung, um den…
Tb W190 H80 Crop Int C7ec4121533b0efd43b60d6b621b8f97

MapR Update mit AI- und Analyse-Unterstützung

Das Major-Plattform-Update von MapR umfasst wichtige Innovationen, welche die Data Fabric…
Tb W190 H80 Crop Int Fda2273b8197dcd0b3a63df08c93c2b1

Etikettensoftware: Für jeden Zweck das richtige Produkt

Etiketten sind in Handel und Logistik unersetzlich. Sie ermöglichen die eindeutige…
Tb W190 H80 Crop Int Edfb0446c4d7b02ec6e9e4f9acaf3aad

Neues Release von iFinder5 elastic

IntraFind präsentiert die Version 5.2 von iFinder5 elastic. Die zentrale Neuerung der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security