Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

VerbündeteEntwickler und DevOps-Teams sind oft das größte Hindernis für die Anwendungssicherheit – und ihre wichtigsten Verbündeten. Für Entwickler zählt Geschwindigkeit. Umständliche Sicherheitsrichtlinien eines Application-Security-(AppSec-)Programms erscheinen ihnen daher oft als unnötige Hindernisse, die es zu umschiffen gilt. Doch wenn das Entwicklerteam nicht an Bord ist, kommt das gesamte Programm zum Stillstand, bevor es richtig begonnen hat.

Ein erfolgreiches AppSec-Programm basiert daher auf einem Verständnis für die Bedürfnisse von Entwicklern und deren Anforderungen an Anwendungssicherheit. Eine gelungene Kommunikation wirkt Wunder – die folgenden Best Practices sollen dabei helfen, Entwicklerteams zu Verbündeten in Sachen Sicherheit zu machen.

  • Kooperation von Anfang an
    Entwickler und DevOps sind am besten von Anfang an dabei – von der Planung des AppSec-Programms bis zur Umsetzung sollten sie ihre Expertise einbringen können. Das Sicherheitsteam kann dadurch Assessment-Protokolle entwickeln, die den Entwicklungszyklus der Software nicht behindern, sondern den Prozess und das Finden von Schwachstellen erleichtern. Wer sich schon vor dem Launch des neuen Programms die Unterstützung der Entwickler sichert, erhöht zudem die Wahrscheinlichkeit, dass die Sicherheitsprotokolle und -regeln später eingehalten werden. Sie werden das Programm eher annehmen, wenn sie die Möglichkeit haben, Protokolle zu beeinflussen. So werden Entwicklerteams vom unwilligen Befehlsempfänger zum starken Partner.
     
  • Das Schweigen brechen
    Wenn Projekte scheitern, dann meist an ineffektiver Kommunikation. Durch sie entstehen Unruhe, Misstrauen und Missverständnisse. Sicherheitsteams können eine Menge gewinnen, wenn sie sich dafür einsetzen, die Silos verschiedener Abteilungen einzureißen. Eine Arbeitsgruppe etwa kann dafür sorgen, dass Entwickler mit den Anforderungen aus allen Richtungen besser vertraut gemacht werden, zudem fördern sie einen Austausch der Teams. Es lohnt sich, einen „Security Champion“ im Entwicklerteam zu finden: einen Entwickler, der sich für Sicherheit interessiert und als gutes Beispiel vorangeht. Der Champion kann auch die Arbeit des Sicherheitsteams mit direktem Feedback verbessern. Er weiß, wie die Entwickler die Strategie annehmen und welche konkreten Änderungen in der Praxis sinnvoll wären.
     
  • Den Entwicklungsprozess verstehen
    Entwickler wollen reibungslose Abläufe. Nur wer den Entwicklungsprozess versteht, kann die benötigten Sicherheitsabläufe an den sinnvollen Stellen integrieren, ohne die etablierten Arbeitsabläufe zu stören. Die Leiter der Entwicklungsteams können dem Sicherheitsteam zu Beginn dabei helfen, die Entwicklungs-Frameworks des Unternehmens zu umreißen. Das Sicherheitsteam sollte im Gegenzug die Verantwortung für die Priorisierung von Schwachstellen übernehmen. Traditionell ist die Sicherheitsabteilung dafür bekannt, Entwickler mit Massen an Fehlern zu überschütten, die alle „wichtig“ und „sofort zu reparieren“ sind. Wer einmal lügt, dem glaubt man nicht – daher sollten von Anfang an echte Prioritäten gesetzt werden; das Sicherheitsteam sollte Entwickler mit Strategien für die kritischsten Schwachstellen versorgen, um ihnen die Arbeit zu erleichtern.
     
  • Sicherheitswissen vermitteln
    Im Umkehrschluss müssen Entwickler mehr über Anwendungssicherheit lernen. Dies ist essenziell für das Gelingen eines AppSec-Programms. Sie sollten über Schwachstellen, potenzielle Gefahren und Best Practices in sicherer Entwicklung auf dem Laufenden sein, sowie über Sicherheitstrends und aktuelle Risiken Bescheid wissen. Eine Umfrage von Veracode ergab, dass Unternehmen, die eLearning für diese Belange einsetzen, knapp 30 Prozent mehr Schwachstellen reparieren konnten als solche ohne eLearning. Das macht einen riesigen Unterschied im Hinblick auf Risiko und potenzielle Kosten für Unternehmen aus. Die Mischung verschiedener Trainingsarten ist besonders effektiv: Kurse vor Ort, externe Experten, die beim Threat Modelling von Anwendungen unterstützen, sowie eLearning und Basis-Sicherheitstrainings – um nur ein paar Formen zu nennen.

Am Ende geht es darum, den Entwicklungsprozess zu verstehen, und Sicherheit möglichst reibungslos darin zu integrieren – ohne die Ziele der Anwendungssicherheit aus den Augen zu lassen. Eine effektive Kommunikation mit aktiver Beteiligung der Entwickler ist hier die beste Voraussetzung, gepaart mit einem intelligenten Weiterbildungsprogramm.

Arved Graf von StackelbergArved Graf von Stackelberg, Director Central Europe bei Veracode

Arved Graf von Stackelberg leitet das Kontinentaleuropa-Geschäft für den Anwendungssicherheits-Spezialisten Veracode. Neben mehr als zwölf Jahren Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungssicherheits- und Entwicklungsumfeld bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf von Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, dass diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

 

GRID LIST
Tb W190 H80 Crop Int 9d2cfa84ccd584be6d52adb0624e234a

Neue Version von iWay unterstützt Blockchain

Information Builders stellt iWay 8 vor. Die neue Version der Lösung für die…
Error

Visueller Debugger für mobile Apps

Mit der Möglichkeit, Code auf mobilen Plattformen visuell zu debuggen, sollen Entwickler…
Tb W190 H80 Crop Int A573f0b72c045df9717844e57b6be0f5

New Release IDL CPM Suite 2018

Mit der IDL CPM Suite des CPM (Corporate Performance Management)-Unternehmens IDL steht…
Tb W190 H80 Crop Int 1c6c09115e293c1336fdc3cbfd7455d0

TrueSight AIOps-Plattform nutzt künstliche Intelligenz

BMC gibt die Verfügbarkeit der neuesten Version der TrueSight AIOps-Plattform bekannt.…
Tb W190 H80 Crop Int Fb1ce818b7e0d6aa0a3ff5d777caf8c5

Heterogene Rechnerlandschaft im Griff

Eine heterogene Rechnerlandschaft, bestehend aus Geräten verschiedener Hersteller und…
Tb W190 H80 Crop Int 80aa8c0ba5af2964b494c9c9f8351284

MicroStrategy 10.9 bietet Datenanalysen für alle Anwender

MicroStrategy 10.9 ist die neueste Version der MicroStrategy 10-Plattform. Das wichtigste…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security