News, Shopping, Messenger-Dienste: Apps für das Smartphone und den Webbrowser sind aus unserem Leben nicht mehr wegzudenken. Umso höher muss der Anspruch an die Sicherheit der Daten sein, die bei der Nutzung von Apps geteilt werden. Das Forschungsprojekt AppSecure.nrw hat sich daher das Ziel gesetzt, Entwicklerinnen und Entwicklern eine Möglichkeit zu bieten, diese sehr sensible Software von Beginn an sicher zu entwickeln. Mitte März 2019 fand das Kick-off des Projektes bei Connext in Paderborn statt.
Die Projektpartner adesso mobile solutions, AXA, Connext und Fraunhofer IEM wollen in den nächsten drei Jahren ein Instrumentarium für die sichere Softwareentwicklung erforschen, evaluieren und in die Praxis einführen. „Wir werden Vorarbeiten und Forschungsergebnisse aus der Wissenschaft so weiterentwickeln und aufbereiten, dass Softwareentwicklerinnen und -entwickler sie direkt und unkompliziert selbst einsetzen können, und zwar ganz konkret für mobile und webbasierte Anwendungen. Deshalb ist die Zusammenarbeit mit unseren Praxispartnern auch so wertvoll“, sagt Prof. Dr. Eric Bodden, Direktor Softwaretechnik und IT-Sicherheit am Fraunhofer IEM, der das Projekt wissenschaftlich leitet.
Sicherheit als Ausgangspunkt
Die Methode zur sicheren Softwareentwicklung nennt sich Security by Design und ist eigentlich denkbar einfach: von Anfang an sicher entwickeln. Bisher werden zunächst die Apps und Anwendungen entwickelt, um im Anschluss zu prüfen, wie sicher sie sind. Dann wird nachgearbeitet, verbessert und wieder kontrolliert. Oft sind die Apps zu diesem Zeitpunkt bereits online und in ständigem Gebrauch. Neu ist also der Gedanke, dass die Entwicklung vom ersten Moment an die Sicherheit mit einbezieht und fortlaufend mitentwickelt. Dadurch wird der Entwicklungsprozess effizienter und deutlich risikoärmer, denn Fehler und mögliche Sicherheitslücken können schon erkannt und behoben werden, bevor die Anwendung überhaupt veröffentlicht wird.
Um Apps und Webanwendungen von der Konzeption bis in den Betrieb hinein sicher zu gestalten, erarbeitet das Projektteam einen sogenannten Secure Development Lifecycle (SDLC). Dieser berücksichtigt unter anderem wichtige Fragen wie die Verarbeitung und Verwaltung sicherheitskritischer Daten, insbesondere mit Blick auf die EU-Datenschutzgrundverordnung. Zusätzlich werden Codeanalyse-Werkzeuge in den SDLC integriert, mit denen zum Beispiel Programmierfehler ähnlich wie bei einer Rechtschreibprüfung bereits in der Entwicklung entdeckt und behoben werden können. Die Ergebnisse von AppSecure.nrw werden von den drei Anwendungspartnern in der Praxis erprobt und sollen nach Projektende auch für andere Unternehmen anwendbar sein. Für die Weiterbildung und den Erfahrungsaustausch organisiert das Projektteam gezielte Schulungen und Netzwerkveranstaltungen.
In den nächsten Monaten erstellen die Projektpartner zunächst eine Studie zur IT-Sicherheit in softwareentwickelnden Unternehmen in Deutschland. Sie sammeln damit wichtige Informationen zur aktuellen Situation und Bedarfen, die in das Projekt einfließen. Die Studie wird Ende 2019 vorgestellt und dann frei verfügbar sein.
Interessierte können dem Projekt auf Twitter unter @AppSecureNRW folgen, um über die Fortschritte und Ergebnisse informiert zu werden.
AppSecure.nrw wird mit Mitteln des Europäischen Fonds für regionale Entwicklung (EFRE.NRW) über drei Jahre gefördert.
Die Projektpartner von AppSecure.nrw:
- Die adesso mobile solutions GmbH bietet den Kunden die gesamte mobile Wertschöpfungskette von der strategischen Planung über die Umsetzung bis hin zur Qualitätssicherung im laufenden Betrieb aus einer Hand.
- Die AXA Konzern AG zählt zu den führenden Versicherern und Finanzdienstleistern in Deutschland. Das Unternehmen bietet ganzheitliche Lösungen in den Bereichen Vorsorge, Krankenversicherungen, Schaden- und Unfallversicherungen sowie Vermögensmanagement.
- Die Connext Communication GmbH aus Paderborn entwickelt Software für die Altenhilfe und das gesamte Sozialwesen.
- Das Fraunhofer IEM in Paderborn forscht an Methoden und Werkzeugen für die Entwicklung der Produkte von morgen. Ein Schwerpunkt dabei ist das Thema IT-Sicherheit.