So ergreifen Entwickler:innen, Product Owner und Führungskräfte in puncto Software Security die Initiative
Apps für das Smartphone und den Webbrowser sind Bestandteil unseres Alltags geworden und verarbeiten oftmals sensible Daten – beispielsweise über unsere Gesundheit und Finanzen. Der Schutz dieser Daten ist deshalb entscheidend. Eine Studie des Forschungsprojektes AppSecure.nrw hat hier einen dringenden Handlungsbedarf für softwareentwickelnde Unternehmen in Deutschland identifiziert. Das Projektteam erarbeitete deshalb praxisnahe Lösungen, um Apps von Beginn an sicher zu entwickeln. Gefördert wurde es von Januar 2019 bis Dezember 2021 vom Europäischen Fonds für regionale Entwicklung (EFRE.NRW) mit 1,5 Millionen Euro.
„Wir haben deutschlandweit den Status quo der sicheren Softwareentwicklung erhoben und warnen: Die Unternehmen müssen dringend mehr in die Software Security ihrer Produkte investieren. Damit meinen wir die Sensibilisierung und Schulung aller Beteiligten, aber auch den Einsatz von entsprechenden Methoden und Werkzeugen. Was ebenfalls oft unterschätzt wird: Sichere Apps sind Teamarbeit: Alle Beteiligten müssen ihre Rolle zur Absicherung der eigenen Produkte kennen und Security jederzeit mitdenken.“, erläutert Dr. Stefan Dziwok, Senior Researcher am Fraunhofer IEM und Projektleiter AppSecure.nrw.
Sichere Softwareentwicklung: Warum sie eine Teamaufgabe ist
Die Studie der Projektpartner Fraunhofer IEM, adesso mobile solutions GmbH, AXA Konzern AG und Connext Communication GmbH lieferte wichtige Impulse zur besseren Absicherung moderner Apps. Ziel war es, nicht nur Softwareentwickler:innen, sondern alle an der App beteiligten Personen einzubeziehen: Product Owner tragen beispielsweise Verantwortung für eine erfolgreiche und wirtschaftliche Umsetzung der App und müssen Software Security von Beginn an einfordern. Führungskräfte benötigen Instrumente, um die Security-Kompetenz ihrer Teams realistisch einzuschätzen und auszubauen.
Grundidee aller im Projekt erarbeiteten Lösungen ist das Prinzip Security by Design, das den Aspekt Software Security von Beginn an in den Entwicklungsprozess integriert. Auf diese Weise werden kostspielige Korrekturen verhindert und die Wahrscheinlichkeit für Sicherheitsvorfälle minimiert. Im Folgenden werden vier bedeutsame Lösungen vorgestellt:
- Security Champion Training
Die Idee dieser Intensivschulung: In jedem Produktteam sollte mindestens eine Person umfangreiches Know-how zu Methoden und Werkzeugen der sicheren App-Entwicklung haben und auch intern weitergeben können. Obwohl das Training 130 Stunden umfasst, findet die große Mehrheit der bisherigen Teilnehmer:innen den Umfang passend. Zudem meinen nahezu alle Befragten, dass sich ihr Wissen und ihre Fähigkeiten bzgl. sicherer Softwareentwicklung aufgrund des Trainings deutlich verbessert haben. Zur Schulung
- Software Security Trainings für Product Owner
Auf Grundlage der Studienergebnisse entwickelte das Projektteam von AppSecure.nrw eine Schulung speziell für Product Owner. Sie hat das Ziel, die Sensibilisierung für Software Security zu steigern und die Rolle der Product Owner in diesem Themenbereich zu vermitteln. Außerdem bauen die Teilnehmer:innen notwendige Kompetenzen auf, um der eigenen Rolle gerecht werden zu können. Zur Schulung
- Reifegradmodell Security Belts
Die Security Belts sind ein neues Reifegradmodell für die Security-Kompetenz agiler Teams. Es ermöglicht nicht nur den aktuellen Reifegrad des Teams zu bestimmen, sondern unterstützt auch kosteneffizient die Steigerung der Software-Security-Kompetenz des gesamten Teams. Die Reifegrade werden dabei durch verschiedenfarbige Gürtel, wie u.a. vom Judo bekannt, dargestellt. Die Security Belts sind kostenlos auf Github verfügbar.
- Neue Codeanalyse-Werkzeuge
Werkzeuge zur automatisierten Codeanalyse unterstützen bei der sicheren Softwareentwicklung: Sie erkennen und beheben im Stile einer Rechtschreibprüfung Sicherheitslücken schon während der Entwicklung. Die nützlichen Tools sind allerdings meist schwer zu bedienen. Das Projekt AppSecure.nrw fokussierte sich deshalb auf die bedarfsgerechte und benutzerfreundliche Gestaltung. Beispielsweise ist im Projekt das Open-Source-Tool SecuCheck entstanden, das Interessierte in Video-Tutorials kennenlernen können.