PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

OMX Online Marketing Konferenz
16.11.17 - 16.11.17
In Salzburg

VerbündeteEntwickler und DevOps-Teams sind oft das größte Hindernis für die Anwendungssicherheit – und ihre wichtigsten Verbündeten. Für Entwickler zählt Geschwindigkeit. Umständliche Sicherheitsrichtlinien eines Application-Security-(AppSec-)Programms erscheinen ihnen daher oft als unnötige Hindernisse, die es zu umschiffen gilt. Doch wenn das Entwicklerteam nicht an Bord ist, kommt das gesamte Programm zum Stillstand, bevor es richtig begonnen hat.

Ein erfolgreiches AppSec-Programm basiert daher auf einem Verständnis für die Bedürfnisse von Entwicklern und deren Anforderungen an Anwendungssicherheit. Eine gelungene Kommunikation wirkt Wunder – die folgenden Best Practices sollen dabei helfen, Entwicklerteams zu Verbündeten in Sachen Sicherheit zu machen.

  • Kooperation von Anfang an
    Entwickler und DevOps sind am besten von Anfang an dabei – von der Planung des AppSec-Programms bis zur Umsetzung sollten sie ihre Expertise einbringen können. Das Sicherheitsteam kann dadurch Assessment-Protokolle entwickeln, die den Entwicklungszyklus der Software nicht behindern, sondern den Prozess und das Finden von Schwachstellen erleichtern. Wer sich schon vor dem Launch des neuen Programms die Unterstützung der Entwickler sichert, erhöht zudem die Wahrscheinlichkeit, dass die Sicherheitsprotokolle und -regeln später eingehalten werden. Sie werden das Programm eher annehmen, wenn sie die Möglichkeit haben, Protokolle zu beeinflussen. So werden Entwicklerteams vom unwilligen Befehlsempfänger zum starken Partner.
     
  • Das Schweigen brechen
    Wenn Projekte scheitern, dann meist an ineffektiver Kommunikation. Durch sie entstehen Unruhe, Misstrauen und Missverständnisse. Sicherheitsteams können eine Menge gewinnen, wenn sie sich dafür einsetzen, die Silos verschiedener Abteilungen einzureißen. Eine Arbeitsgruppe etwa kann dafür sorgen, dass Entwickler mit den Anforderungen aus allen Richtungen besser vertraut gemacht werden, zudem fördern sie einen Austausch der Teams. Es lohnt sich, einen „Security Champion“ im Entwicklerteam zu finden: einen Entwickler, der sich für Sicherheit interessiert und als gutes Beispiel vorangeht. Der Champion kann auch die Arbeit des Sicherheitsteams mit direktem Feedback verbessern. Er weiß, wie die Entwickler die Strategie annehmen und welche konkreten Änderungen in der Praxis sinnvoll wären.
     
  • Den Entwicklungsprozess verstehen
    Entwickler wollen reibungslose Abläufe. Nur wer den Entwicklungsprozess versteht, kann die benötigten Sicherheitsabläufe an den sinnvollen Stellen integrieren, ohne die etablierten Arbeitsabläufe zu stören. Die Leiter der Entwicklungsteams können dem Sicherheitsteam zu Beginn dabei helfen, die Entwicklungs-Frameworks des Unternehmens zu umreißen. Das Sicherheitsteam sollte im Gegenzug die Verantwortung für die Priorisierung von Schwachstellen übernehmen. Traditionell ist die Sicherheitsabteilung dafür bekannt, Entwickler mit Massen an Fehlern zu überschütten, die alle „wichtig“ und „sofort zu reparieren“ sind. Wer einmal lügt, dem glaubt man nicht – daher sollten von Anfang an echte Prioritäten gesetzt werden; das Sicherheitsteam sollte Entwickler mit Strategien für die kritischsten Schwachstellen versorgen, um ihnen die Arbeit zu erleichtern.
     
  • Sicherheitswissen vermitteln
    Im Umkehrschluss müssen Entwickler mehr über Anwendungssicherheit lernen. Dies ist essenziell für das Gelingen eines AppSec-Programms. Sie sollten über Schwachstellen, potenzielle Gefahren und Best Practices in sicherer Entwicklung auf dem Laufenden sein, sowie über Sicherheitstrends und aktuelle Risiken Bescheid wissen. Eine Umfrage von Veracode ergab, dass Unternehmen, die eLearning für diese Belange einsetzen, knapp 30 Prozent mehr Schwachstellen reparieren konnten als solche ohne eLearning. Das macht einen riesigen Unterschied im Hinblick auf Risiko und potenzielle Kosten für Unternehmen aus. Die Mischung verschiedener Trainingsarten ist besonders effektiv: Kurse vor Ort, externe Experten, die beim Threat Modelling von Anwendungen unterstützen, sowie eLearning und Basis-Sicherheitstrainings – um nur ein paar Formen zu nennen.

Am Ende geht es darum, den Entwicklungsprozess zu verstehen, und Sicherheit möglichst reibungslos darin zu integrieren – ohne die Ziele der Anwendungssicherheit aus den Augen zu lassen. Eine effektive Kommunikation mit aktiver Beteiligung der Entwickler ist hier die beste Voraussetzung, gepaart mit einem intelligenten Weiterbildungsprogramm.

Arved Graf von StackelbergArved Graf von Stackelberg, Director Central Europe bei Veracode

Arved Graf von Stackelberg leitet das Kontinentaleuropa-Geschäft für den Anwendungssicherheits-Spezialisten Veracode. Neben mehr als zwölf Jahren Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungssicherheits- und Entwicklungsumfeld bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf von Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, dass diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

 

GRID LIST
Tb W190 H80 Crop Int 390df12e48dde12bde21abc02dd37d9a

Universal Messaging API - Chatbots arbeiten jetzt cross-platform

CloudRail stellt die neue Unified Messaging API vor: Facebook Messenger, Telegram, Line…
Tb W190 H80 Crop Int F449dae81ab05ada2efca957b3a9e911

Praktisches Passwortmanagement

Kein Zugriff auf Online-Konten oder massive Einschränkungen bei der Kommunikation mit…
Tb W190 H80 Crop Int A573f0b72c045df9717844e57b6be0f5

Neue Maßstäbe für das Privilegien-Management

Avecto, Anbieter im Bereich des Privilegien-Managements, kündigte das Release von…
Tb W190 H80 Crop Int 07194786dba733d0751a7623e87653ba

Mit Blockchain gegen Medikamentenfälschung

Ungefähr 10 % der weltweit im Umlauf befindlichen Medikamente sind Fälschungen, in…
Tb W190 H80 Crop Int 626d033088d7f52eaf216ec75478156a

Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

DeskCenter Management Suite integriert SAP-Lizenzmanagement

Die neueste Version der DeskCenter Management Suite ermöglicht jetzt Lizenzmanagement für…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet