Wir unterstützen Projekte und Organisationen bei der Umsetzung von Anwendungssicherheit mit unserem Ansatz der Lean Application Security.
Lean Application Security ist ein schlankes Vorgehensmodell zur Integration von Sicherheit in den Softwareentwicklungsprozess. Es hat die Entwicklung von Grund auf sicherer Anwendungen und Systeme zum Ziel, ohne dabei den Projektfluss zu stören und das Projektergebnis zu verkomplizieren.
Lean Application Security integriert sich nahtlos in moderne agile Entwicklungsmodelle und DevOps-Prozesse.
Eigenschaften von Lean Application Security
Jedes Projekt ist anders. Projektstruktur, Timeline, Reifegrad, Schutzbedarf, Technologiestack, Budget und vieles mehr sind wichtige Faktoren, die es bei der Auswahl von Art und Umfang der Maßnahmen und Tools zu berücksichtigen gilt.
Wir automatisieren überall dort, wo es möglich und sinnvoll ist. Dabei legen wir größten Wert darauf, dass der Entwicklungsprozess nicht verkompliziert und die technische Prozesskette keinem Störrisiko ausgesetzt wird.
Unsere Beratung zielt darauf ab, die erbrachten Leistungen über das jeweilige Projekt hinaus wirken zu lassen. Mit jedem Einsatz steigt der Reifegrad der Organisations-einheit bzw. der gesamten Organisation.
Unser Grundprinzip: Sicherheit darf kein Selbstzweck sein!
Sicherheitsbemühungen während der Softwareentwicklung haftet das Stigma an, Kosten zu erhöhen, den Projektfluss zu stören und das Projektergebnis zu verkomplizieren. Vielfach erhält Sicherheit daher innerhalb eines Softwareprojekts einen entsprechend niedrigen Stellenwert. Ein niedriges Sicherheitsniveau mit einhergehendem hohen Risiko über den gesamten Lebenszyklus einer Anwendung sind die Folge.
Unser Beratungskonzept zielt darauf ab, diese Hemmnisse im Ansatz zu vermeiden. Es hat sich gezeigt, dass eine kompromisslose Ausrichtung der sicherheitsgebenden Maßnahmen an den Kriterien Kostensenkung und Akzeptanz eine tragfähige Basis zur Erreichung dieses Ziels darstellt:
- Der Umfang an Sicherheit muss in der Gesamtbetrachtung zu einer Kostensenkung führen.
- Art, Umfang und Umsetzung der Sicherheitsaktivitäten und -maßnahmen werden so motiviert, dass sie die Akzeptanz aller Projektbeteiligten finden.
Aus diesen Schlüsselanforderungen leitet sich unser an Softwareprojekte gerichtetes Lean Application Security Vorgehensmodell zur Herstellung inhärent sicherer Anwendungen und der Automatisierung der technischen Prozesskette ab.
Lean Application Security im Überblick

Application Security wird in einer Weise verankert, die den gesamten Entwicklungsprozess umschließt und stützt.
Kick-off: Der erste Zuschnitt erfolgt in einem Workshop
Die initiale Bestandsaufnahme mit wesentlichen Stakeholdern liefert die Basis für alles Weitere ♦ In welcher Phase befindet sich das Projekt? ♦ Wie wird die Risikosituation eingeschätzt? ♦ Welchen Security-Reifegrad hat das Team? ♦ Vorstellung des organisatorischen Rahmens auf Kundenseite (z. B. Entwicklungsvorgehen, Budget-Situation, Stakeholder) ♦ Technische Aufstellung (z. B. Technologistack, Einbettung in Systemlandschaft).
Zu den Faktoren, die Einfluss auf Art und Umfang dieses initialen Schrittes haben, gehören:
- Wurde eine Risiko-/Bedrohungsanalyse durchgeführt?
- Existiert ein Sicherheitskonzept?
- Welche Compliance- und Sicherheitsanforderungen bestehen hausintern?
Ergebnis
Mit dem Ergebnis des Kick-offs sind wir in der Lage, aus dem Spektrum von Aktivitäten zur Herstellung von Sicherheit die potentiell in Frage kommenden Ansätze vorzuqualifizieren und dem Projekt vorzustellen. In einer gemeinsamen Arbeitsrunde werden Nutzen, Anwendbarkeit, Konsequenzen für die Projektabwicklung sowie Kosten diskutiert und eine qualifizierte Entscheidung hinsichtlich Art und Umfang der Umsetzung getroffen. Eine verbindliche Abschätzung über das Maß unserer Unterstützung lässt sich bereits zu diesem Zeitpunkt treffen.
In den Fällen, wo sich noch keine ausreichende Informationsbasis ergeben hat, lässt sich Klarheit durch eine vorangestellte Risikoanalyse und/oder Architekturanalyse erreichen. Das ist zumeist dann der Fall, wenn
- dem Auftraggeber die Bedrohungssituation noch nicht ausreichend klar ist
- die Abhängigkeit der Sicherheit von der Einbettung in eine komplexe Systemumgebung nicht überschaubar ist
- oder das Projekt sich bereits in einem fortgeschrittenen Zustand befindet.
Der Baukasten: Individuell anpassbare und kombinierbare Module
Unser Lean Application Security Vorgehen besteht aus den im Folgenden aufgeführten Modulen. Die zum Einsatz kommenden Module werden individuell auf das Projekt zugeschnitten. Sie sind weitestgehend unabhängig voneinander anwendbar und untereinander kombinierbar.
Modul:
Risikoanalyse
Identifizierung von Risiken mittels standardisierten Threat-Modelling Verfahren. Ermöglicht, Maßnahmen auf den notwendigen Umfang zu reduzieren.
Modul:
Architektur-analyse
Ermittelt die für die Sicherheit der Anwendung essentiellen Abhängigkeiten zur umgebenden Systemlandschaft.
Modul:
Test Automati-sierung
Durch Auswahl und Einbau geeigneter (Open Source-) Tools in die Prozesskette wird die maximale Effizienz und Wiederholbarkeit von Securitytests gewährleistet.
Modul:
Code Review
Einrichtung des teaminternen manuellen Codereviews auf Sicherheit als selbstverständlicher Bestandteil des Entwicklungsprozesses.
Modul:
Schulungen
Application Security und Secure Coding Schulungen gelten als hochwirksame Maßnahme im Bestreben nach sicher entwickelten Anwendungen.
Modul:
Patchprozesse
Dieses leicht anzuwendende Modul überwacht die eingebundenen Drittkomponenten und alarmiert umgehend bei Bekanntwerden von Schwachstellen.
Modul:
Penetrationstests
Manuelle Penetrationstests zu größeren Meilensteinen bilden das wichtige letzte Security-Gateway vor der Liveschaltung.
Modul:
Experten-Begleitung
Der SEP (Security-Expert-in-Project) steht als ständiger Ansprechpartner zur Verfügung und kann, in beliebig skalierbarem Umfang, operativ im Projekt agieren.
Modul:
Monitoring
Anwendungen in Produktion sind stets Angriffsversuchen ausgesetzt. Ein kluges Monitoring warnt, sobald ein Versuch für den Angreifer erfolgsversprechend abläuft.
Modul:
Weitere Maßnahmen
Das weite Feld der Application Security ist reich an weiteren kleineren oder größeren Maßnahmen zur Erhöhung der Sicherheit.
Schlüsselstrategie: Automatisierung und Hinterlegung von Wissen
Wo immer möglich, richten wir die Umsetzung der Maßnahmen so aus, dass sie eine bleibende, über den unmittelbaren Einsatz hinausgehende Wirkung erzielen. Wir erreichen dies durch Automatsierung und die dauerhafte Verfügbarmachung von Wissen.
Automatisierung
Genauso wie bei der klassischen Qualitätssicherung gilt auch bei der Security, entwicklungsbegleitend ausgiebig zu testen. Die Herstellung eines hohen Automatisierungsgrades führt nicht nur zu einer Maximierung der Effizienz, sondern auch zur Wiederverwendbarkeit der bereitgestellten Tools und Prozesse für Folgeprojekte.
Hinterlegung von Wissen
- Secure Coding Guidelines lassen sich – auf die Unternehmensanforderungen und den genutzten Technologiestack zugeschnitten – aus den Arbeitsergebnissen ableiten.
- Die Einhaltung der Guidelines kann je nach verwendetem Tool durch Regeln automatisch überprüft werden.
- Das Prinzip, Sicherheitsmaßnahmen in der Architektur zu verankern, führt dazu, dass diese Folgeprojekten automatisch zukommen, die auf derselben Architektur aufbauen,