Wir unterstützen Projekte und Organisationen bei der Umsetzung von Anwendungssicherheit mit unserem Ansatz der Lean Application Security.

 

Lean Application Security ist ein schlankes Vorgehensmodell zur Integration von Sicherheit in den Softwareentwicklungsprozess. Es hat die Entwicklung von Grund auf sicherer Anwendungen und Systeme zum Ziel, ohne dabei den Projektfluss zu stören und das Projektergebnis zu verkomplizieren.

 

Lean Application Security integriert sich nahtlos in moderne agile Entwicklungsmodelle und DevOps-Prozesse.

 

Eigenschaften von Lean Application Security

Maßgeschneidert

Jedes Projekt ist anders. Projektstruktur, Timeline, Reifegrad, Schutzbedarf, Technologiestack, Budget und vieles mehr sind wichtige Faktoren, die es bei der Auswahl von Art und Umfang der Maßnahmen und Tools zu berücksichtigen gilt.

Effizient

Wir automatisieren überall dort, wo es möglich und sinnvoll ist. Dabei legen wir größten Wert darauf, dass der Entwicklungsprozess nicht verkompliziert und die technische Prozesskette keinem Störrisiko ausgesetzt wird.

Nachhaltig

Unsere Beratung zielt darauf ab, die erbrachten Leistungen über das jeweilige Projekt hinaus wirken zu lassen. Mit jedem Einsatz steigt der Reifegrad der Organisations-einheit bzw. der gesamten Organisation.

Unser Grundprinzip: Sicherheit darf kein Selbstzweck sein!

Sicherheitsbemühungen während der Softwareentwicklung haftet das Stigma an, Kosten zu erhöhen, den Projektfluss zu stören und das Projektergebnis zu verkomplizieren. Vielfach erhält Sicherheit daher innerhalb eines Softwareprojekts einen entsprechend niedrigen Stellenwert. Ein niedriges Sicherheitsniveau mit einhergehendem hohen Risiko über den gesamten Lebenszyklus einer Anwendung sind die Folge.

Unser Beratungskonzept zielt darauf ab, diese Hemmnisse im Ansatz zu vermeiden. Es hat sich gezeigt, dass eine kompromisslose Ausrichtung der sicherheitsgebenden Maßnahmen an den Kriterien Kostensenkung und Akzeptanz eine tragfähige Basis zur Erreichung dieses Ziels darstellt:

  • Der Umfang an Sicherheit muss in der Gesamtbetrachtung zu einer Kostensenkung führen.
  • Art, Umfang und Umsetzung der Sicherheitsaktivitäten und -maßnahmen werden so motiviert, dass sie die Akzeptanz aller Projektbeteiligten finden.

Aus diesen Schlüsselanforderungen leitet sich unser an Softwareprojekte gerichtetes Lean Application Security Vorgehensmodell zur Herstellung inhärent sicherer Anwendungen und der Automatisierung der technischen Prozesskette ab.

 

Lean Application Security im Überblick

Application Security wird in einer Weise verankert, die den gesamten Entwicklungsprozess umschließt und stützt.

Kick-off: Der erste Zuschnitt erfolgt in einem Workshop

Die initiale Bestandsaufnahme mit wesentlichen Stakeholdern liefert die Basis für alles Weitere ♦ In welcher Phase befindet sich das Projekt? ♦ Wie wird die Risikosituation eingeschätzt? ♦ Welchen Security-Reifegrad hat das Team? ♦ Vorstellung des organisatorischen Rahmens auf Kundenseite (z. B. Entwicklungsvorgehen, Budget-Situation, Stakeholder) ♦ Technische Aufstellung (z. B. Technologistack, Einbettung in Systemlandschaft).

Zu den Faktoren, die Einfluss auf Art und Umfang dieses initialen Schrittes haben, gehören:

  • Wurde eine Risiko-/Bedrohungsanalyse durchgeführt?
  • Existiert ein Sicherheitskonzept?
  • Welche Compliance- und Sicherheitsanforderungen bestehen hausintern?

Ergebnis

Mit dem Ergebnis des Kick-offs sind wir in der Lage, aus dem Spektrum von Aktivitäten zur Herstellung von Sicherheit die potentiell in Frage kommenden Ansätze vorzuqualifizieren und dem Projekt vorzustellen. In einer gemeinsamen Arbeitsrunde werden Nutzen, Anwendbarkeit, Konsequenzen für die Projektabwicklung sowie Kosten diskutiert und eine qualifizierte Entscheidung hinsichtlich Art und Umfang der Umsetzung getroffen. Eine verbindliche Abschätzung über das Maß unserer Unterstützung lässt sich bereits zu diesem Zeitpunkt treffen.

In den Fällen, wo sich noch keine ausreichende Informationsbasis ergeben hat, lässt sich Klarheit durch eine vorangestellte Risikoanalyse und/oder Architekturanalyse erreichen. Das ist zumeist dann der Fall, wenn 

  • dem Auftraggeber die Bedrohungssituation noch nicht ausreichend klar ist
  • die Abhängigkeit der Sicherheit von der Einbettung in eine komplexe Systemumgebung nicht überschaubar ist
  • oder das Projekt sich bereits in einem fortgeschrittenen Zustand befindet.

Der Baukasten: Individuell anpassbare und kombinierbare Module

Unser Lean Application Security Vorgehen besteht aus den im Folgenden aufgeführten Modulen. Die zum Einsatz kommenden Module werden individuell auf das Projekt zugeschnitten. Sie sind weitestgehend unabhängig voneinander anwendbar und untereinander kombinierbar.

Schlüsselstrategie: Automatisierung und Hinterlegung von Wissen

Wo immer möglich, richten wir die Umsetzung der Maßnahmen so aus, dass sie eine bleibende, über den unmittelbaren Einsatz hinausgehende Wirkung erzielen. Wir erreichen dies durch Automatsierung und die dauerhafte Verfügbarmachung von Wissen.