Consulting

Wir beraten auf der Basis von mehr als 10 Jahren praktischer Projekt- und Systemerfahrung und überschauen alle Aspekte, Ansatzpunkte und Maßnahmen von Sicherheit auf Anwendungsebene

Web Application Security kann entlang des gesamten Software Development Lifecycle (SDLC) betrieben werden. Es gilt: Je weiter vorne im SDLC eine Maßnahme ansetzt, desto stärker und nachhaltiger ist ihre Wirkung.

Die Web Application Security bietet ein sehr breites und mittlerweile auch unübersichtliches Spektrum an Möglichkeiten zur Herstellung von Sicherheit. Ein Patentrezept oder ein für alle Unternehmen gleichermaßen gültiges Vorgehen existiert nicht.

Es gilt, die für die eigene Situation am besten passenden Herangehensweisen zu finden und diese in eine unternehmensweite Software Security Strategie münden zu lassen.

Wir nutzen moderne Methoden und Vorgehensmodelle, um Unternehmen, Abteilungen oder Teams bei der Findung der richtigen Strategie und dem Aufbau umfassender Software- und Anwendungssicherheit zu unterstützen:

 

OpenSAMM, das frei verfügbare Software Assurance Maturity Model, mit dem auf sytematische Weise der Ist-Stand in Sachen Web Application Security analysiert, geeignete weitere Maßnahmen identifiziert und in ihrer Strenge und Ausprägung definiert sowie einem Verbesserungsprozess unterworfen werden können.

BSIMM (Building-Security-In Maturity Model) ist OpenSAMM sehr ähnlich. Wir setzen es vornehmlich ergänzend dazu ein, da es in einigen Bereichen eine größere Klarheit besitzt.

Roadmap-Workshop

Einen guten Einstieg in die Thematik bietet in den meisten Fällen unser Roadmap-Workshop. Er beinhaltet die folgenden vier Schritte:phasen

1 - Bestandsaufnahme

Vorbereitung

  • Wir senden Ihnen einen Fragenkatalog zur Vorbereitung des Workshops zu.

Durchführung des Workshops

  • Wir stellen unser Vorgehensmodell vor
  • Gemeinsam stimmen wir Rahmenbedingungen ab, wie Resourcen, personeller Aufwand, Budget, Zeitrahmen etc.
  • Durchführung einer groben Bestandsaufnahme der eingesetzten Software und Webanwendungen
  • Festlegung von Risikoklassen bzw. Zuordnung zu bestehenden Risikoklassen

Erledigung von Hausaufgaben

  • Erstellung des Softwareinventars und Zuordnung zu Risikoklassen

Ergebnis Ein Softwareinventar liegt vor und die einzelnen Bestandteile sind Risikoklassen zugeordnet.

2 - Planung
  • Definition von Zielen und Teilzielen
  • Festlegung von Aktivitäten
  • Erstellung von Metriken zur Bewertung des Vorgehens
  • Erstellung eines Phasenplans

Ergebnis Der Vorgehensplan („Roadmap“) liegt vor.

3 - Umsetzung Phase 1

Es wird unterschieden zwischen der Betrachtung des Altbestands an Anwendungen und dem Vorgehen bei Neuentwicklungen. Bei Altanwendungen geht es primär darum, Sicherheitsprobleme festzustellen und auf möglichst wirtschaftliche Weise Gegenmaßnahmen anzuwenden. Bei Neuanwendungen ist das Problem an der Wurzel zu lösen und es sind organisatorische und den Software Development Lifecycle (SDLC) verbessernde Maßnahmen umzusetzen.

Altbestand

  • Sicherheitsanalyse der Anwendungen mit Priorität auf Risikoklasse „rot“.
  • Pragmatische Bereinigung der Probleme

Neuentwicklung

  • Umsetzung von einfachen aber wirksamen Maßnahmen zur Verbesserung der Sicherheit
  • Priorisierung gemäß Risikoklasse
  • Sicherheits-Know-how wird vorwiegend eingekauft
4 - Weitere Phasen

Je nach den individuellen Anforderungen und Sicherheitszielen werden weitere Umsetzungsphasen geplant. Der typische zeitliche Planungshorizont liegt in der Größenordnung von 3 Jahren

Altanwendungen

  • Sicherheitsanalyse der Anwendungen in den niedrigeren Risikoklassen
  • Pragmatische Bereinigung der Probleme

Neuanwendungen

  • Ausdehnen der Aktivitäten auf niedrigere Risikoklassen
  • Intensivierung der Aktivitäten
  • Verkürzung von Prüfintervallen
  • Schrittweise Integration von Sicherheits-Know-how in das eigene Unternehmen