Zum Hauptinhalt springen

IT-Security in Apps: So ergreifen Unternehmen in puncto Software Security die Initiative

fTeilen
Pin It

Apps für das Smartphone und den Webbrowser sind Bestandteil unseres
Alltags geworden und verarbeiten oftmals sensible Daten – beispielsweise
über unsere Gesundheit und Finanzen. Der Schutz dieser Daten ist deshalb
entscheidend. Eine Studie des Forschungsprojektes AppSecure.nrw hat hier
einen dringenden Handlungsbedarf für softwareentwickelnde Unternehmen in
Deutschland identifiziert. Das Projektteam erarbeitete deshalb praxisnahe
Lösungen, um Apps von Beginn an sicher zu entwickeln. Gefördert wurde es
von Januar 2019 bis Dezember 2021 vom Europäischen Fonds für regionale
Entwicklung (EFRE.NRW) mit 1,5 Millionen Euro.

„Wir haben deutschlandweit den Status quo der sicheren Softwareentwicklung
erhoben und warnen: Die Unternehmen müssen dringend mehr in die Software
Security ihrer Produkte investieren. Damit meinen wir die Sensibilisierung
und Schulung aller Beteiligten, aber auch den Einsatz von entsprechenden
Methoden und Werkzeugen. Was ebenfalls oft unterschätzt wird: Sichere Apps
sind Teamarbeit: Alle Beteiligten müssen ihre Rolle zur Absicherung der
eigenen Produkte kennen und Security jederzeit mitdenken.“, erläutert Dr.
Stefan Dziwok, Senior Researcher am Fraunhofer IEM und Projektleiter
AppSecure.nrw.

Sichere Softwareentwicklung: Warum sie eine Teamaufgabe ist

Die Studie der Projektpartner Fraunhofer IEM, adesso mobile solutions
GmbH, AXA Konzern AG und Connext Communication GmbH lieferte wichtige
Impulse zur besseren Absicherung moderner Apps. Ziel war es, nicht nur
Softwareentwickler:innen, sondern alle an der App beteiligten Personen
einzubeziehen: Product Owner tragen beispielsweise Verantwortung für eine
erfolgreiche und wirtschaftliche Umsetzung der App und müssen Software
Security von Beginn an einfordern. Führungskräfte benötigen Instrumente,
um die Security-Kompetenz ihrer Teams realistisch einzuschätzen und
auszubauen.

Grundidee aller im Projekt erarbeiteten Lösungen ist das Prinzip Security
by Design, das den Aspekt Software Security von Beginn an in den
Entwicklungsprozess integriert. Auf diese Weise werden kostspielige
Korrekturen verhindert und die Wahrscheinlichkeit für Sicherheitsvorfälle
minimiert. Im Folgenden werden vier bedeutsame Lösungen vorgestellt:

1.     Security Champion Training

Die Idee dieser Intensivschulung: In jedem Produktteam sollte mindestens
eine Person umfangreiches Know-how zu Methoden und Werkzeugen der sicheren
App-Entwicklung haben und auch intern weitergeben können. Obwohl das
Training 130 Stunden umfasst, findet die große Mehrheit der bisherigen
Teilnehmer:innen den Umfang passend. Zudem meinen nahezu alle Befragten,
dass sich ihr Wissen und ihre Fähigkeiten bzgl. sicherer
Softwareentwicklung aufgrund des Trainings deutlich verbessert haben.
Erfahren Sie mehr zum Security Champion Training.

2.     Software Security Trainings für Product Owner

Auf Grundlage der Studienergebnisse entwickelte das Projektteam von
AppSecure.nrw eine Schulung speziell für Product Owner. Sie hat das Ziel,
die Sensibilisierung für Software Security zu steigern und die Rolle der
Product Owner in diesem Themenbereich zu vermitteln. Außerdem bauen die
Teilnehmer:innen notwendige Kompetenzen auf, um der eigenen Rolle gerecht
werden zu können. Erfahren Sie mehr zum Software Security Training für
Product Owner

3.     Reifegradmodell Security Belts

Die Security Belts sind ein neues Reifegradmodell für die Security-
Kompetenz agiler Teams. Es ermöglicht nicht nur den aktuellen Reifegrad
des Teams zu bestimmen, sondern unterstützt auch kosteneffizient die
Steigerung der Software-Security-Kompetenz des gesamten Teams. Die
Reifegrade werden dabei durch verschiedenfarbige Gürtel, wie u.a. vom Judo
bekannt, dargestellt. Die Security Belts sind kostenlos auf Github
verfügbar. Zum Reifegradmodell Security Belts

4.     Neue Codeanalyse-Werkzeuge

Werkzeuge zur automatisierten Codeanalyse unterstützen bei der sicheren
Softwareentwicklung: Sie erkennen und beheben im Stile einer
Rechtschreibprüfung Sicherheitslücken schon während der Entwicklung. Die
nützlichen Tools sind allerdings meist schwer zu bedienen. Das Projekt
AppSecure.nrw fokussierte sich deshalb auf die bedarfsgerechte und
benutzerfreundliche Gestaltung. Beispielsweise ist im Projekt das Open-
Source-Tool SecuCheck entstanden, das Interessierte in Video-Tutorials
kennenlernen können.

Mit Klick auf das Bild gelangen Sie auf die Homepage von Luzern Tourismus
Mit Klick auf das Bild gelangen Sie auf die Homepage von Sempachsersee Tourismus
Sörenberg Flueli Tourismusdestination im Sommer
Innerschweizonline 3