Aktuelles, Experten, Gastbeiträge - geschrieben von cp am Donnerstag, Juli 9, 2015 12:54 - noch keine Kommentare
ISO 27034-basiertes Certified Secure Software Development & Testing
Berücksichtung von Sicherheitsaspekten in allen Entwurfsphasen von Software
Von unseren Gastautoren Ivan Miklecic und Hartmut Pohl
[datensicherheit.de, 09.07.2015] Nach wie vor werden wir nahezu täglich mit Nachrichten über kritische Sicherheitslücken in Software und Angriffe auf Systeme und Netzwerke überrollt. Schutzmaßnahmen zur Vorbeugung wie Firewalls, IDS/IPS, Password-Safes etc. sind nicht immer erfolgreich und Sicherheitsprodukte sind häufig selbst unsicher, enthalten Sicherheitslücken und sind daher in vielen Fällen selbst von Angriffen betroffen.
Software- und Produktentwickler bemühen sich – meist vergeblich – um eine sichere Produktentwicklung, dabei spielt es keine Rolle ob es sich um Web Applications, Apps, ERP, CRM, E-Business, Embedded Systems oder Firmware handelt.
Doch wie wird die Entwicklung sicherer Produkte gewährleistet?
Nicht nur die Wahl der wirkungsvollsten Sicherheitsaktivitäten, wie Methoden zur Identifizierung von Sicherheitslücken, sondern auch der optimale Zeitpunkt im Produktlebenszyklus, in dem diese Aktivitäten angewandt werden, entscheiden über den Erfolg. Um der ad hoc Implementierung von Sicherheitsaktivitäten vorzubeugen, bedarf es einer Strategie.
Einen allgemeinen Ansatz zum Management von Softwaresicherheit liefert die 2011 von der International Standards Organization verabschiedete ISO 27034-1 „Application Security“. Diese Norm bietet eine hersteller- und technologieunabhängige Grundlage; sie definiert Konzepte, Frameworks und Prozesse, die Entwicklern helfen, Application Security in ihren Entwicklungszyklus zu integrieren. In der noch jungen Norm ‘ISO 27034 Application Security’ werden Empfehlungen für eine sichere Softwareentwicklung dargestellt. Dabei spielen zwei Hauptprozesse eine tragende Rolle:
- Im Organisation Normative Framework (ONF) werden alle im Unternehmen verwendeten Richtlinien, Regularien, Best Practices etc. in einer Bibliothek zusammengefasst.
- Anschließend wird für jedes Projekt ein Application Normative Framework (ANF) gebildet indem die notwendigen Richtlinien, Regularien, Best Practices etc. zusammen mit den zugehörigen Application Security Controls (ASC) „Sicherheitsaktivitäten“ aus dem ONF in den Produktlebenszyklus, insbesondere in den Entwicklungsprozess integriert werden.
Der Prozess startet mit einer Risikoanalyse zur Bestimmung des zu erreichenden Sicherheitsniveaus und einer anschließenden Festlegung von Sicherheitsanforderungen für die zu entwickelnden Software.
In einer Bedrohungsanalyse (Threat Modeling) werden Threats identifiziert und entsprechende Sicherheitsmaßnahmen erarbeitet. Nach der Implementierung wird eine Qualitätssicherung der umgesetzten Sicherheitsmaßnahmen im Rahmen von Security Tests durchgeführt, um zu überprüfen ob das geforderte Sicherheitsniveau erreicht wurde.
Ist der gesamte Prozess in die Produktentwicklung integriert und vollständig ausgeführt worden, kann eine den Sicherheitsanforderungen entsprechend sichere Software erreicht werden, eine Zertifizierung mit Überprüfung (Evaluierung) der fertigen Software belegt dies dem Kunden gegenüber. Der Prozess lässt sich ebenso gut auf die Beschaffung von Produkten anwenden. So können für eingekaufte Produkte unternehmensweite einheitliche Sicherheitsniveaus gefordert und überprüft werden.
Aufbauend auf der ISO 27034 hat softScheck den Prozessleitfaden softScheck Secure Application Management (sASM) entwickelt. Damit entfällt eine detaillierte Einarbeitung in die etwas abstrakt formulierte Norm. Der Prozessleitfaden kann auch auf das OWASP SAMM oder andere Modelle gemappt werden. Im Rahmen des Prozessleitfadens empfiehlt softScheck die Implementierung des seit über 10 Jahren erfolgreich eingesetzten ‚softScheck Security Testing Process‘ (sSTP) mit den 5 Methoden:
- Security Requirements-Analysis
- Threat Modeling: Untersuchung des Security Designs auf Sicherheitslücken
- Static Source Code Analysis: Code Reading des Quelltextes auf Sicherheitslücken
- Penetration Testing: Identifizierung veröffentlichter Sicherheitslücken
- Dynamic Analysis – Fuzzing: Identifizierung von bislang nicht bekannten Sicherheitslücken (Zero-Day-Vulnerabilities) im Maschinen-ausführbaren Code
ONF und ANF Prozesse der ISO 27034 und das Mapping des sSTP auf einen Entwicklungsprozess
Zusammen mit unserem Partner infoteam Software AG decken wir auch die Safety Aspekte bei der Softwareentwicklung mit ab.
IT-Sicherheitsaspekte werden in dem Secure Software Development Process in jeder Entwicklungsphase berücksichtigt und sofort umgesetzt. Durch Identifizierung ALLER Sicherheitslücken (und Patchen) – insbesondere der bislang nicht erkannten Zero-Day-Vulnerabilities – ist die Software dann erfahrungsgemäß angriffssicher!
Über die Autoren:
Ivan Miklecic ist Consultant bei der softScheck GmbH
Prof. Dr. Hartmut Pohl ist geschäftsführender Gesellschafter softScheck GmbH
Kooperation
Mitgliedschaft

Schulungsangebot

Partner

Gefragte Themen
- Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen
- BrExit: Europäische Datenschutzbeauftragte diskutierten Folgen
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Digital Shadows-Report: Cyber-Erpressung auf Management-Ebene
- Cyber-Sicherheitsumfrage: BSI ruft zur Teilnahme auf
- Wenn zuvor harmlose Webseiten zu gefährliche Virenschleudern werden
- Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu
- Bösartige Memes lösen Malware-Funktionen aus
- Deutsche Unternehmen gehackt – 43,5 Milliarden Schaden
- Check Point Security Report 2019: Cloud und Mobile Deployments schwächste Verbindungen in Unternehmensnetzwerken
- Anwendungsvirtualisierung: Beim Umstieg auf Container ist Know-how entscheidend
- Trend-Micro-Studie: Phishing häufigste Cyber-Angriffsmethode
- IT Security made in Germany auf der RSA Conference 2019
- Schnelle Bedrohungserkennung und Reaktion auf Sicherheitsvorfälle
- Das ist ja toll, aber seit Jahren bekannt. Zudem bietet besonders Link11 keine p...
- Ich fände es ehrlich gesagt erläuterungsbedürftig, wenn die EU Kommission einem ...
- Gerade in Zeiten von Bring your own Device wird die DSGVO-Compliance nochmal zu ...
- Kann mich dem Kommentar nur anschließen. WIe wäre es bei unseren Bundestagsabgeo...
- Es ist schon erstaunlich, wozu Politiker in der Lage sind auf Stimmenfang zu geh...
- ein Gruß aus Leipzig.
Ich wünsche Ihnen einen guten Jahreswechsel und ein gut...
- Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Soci...
- Der neue Verschlüsselungsvirus beginnt, (nach dem Nachladen), mit der Verschlüss...
Aktuelles, Experten - Feb 21, 2019 19:43 - noch keine Kommentare
Cyber-Sicherheitsumfrage: BSI ruft zur Teilnahme auf
weitere Beiträge in Experten
- Bösartige Memes lösen Malware-Funktionen aus
- Deutsche Unternehmen gehackt – 43,5 Milliarden Schaden
- Anwendungsvirtualisierung: Beim Umstieg auf Container ist Know-how entscheidend
- IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
- Wenn Kollegen zum Sicherheitsrisiko werden
Aktuelles, Branche, Studien - Feb 21, 2019 20:10 - noch keine Kommentare
Digital Shadows-Report: Cyber-Erpressung auf Management-Ebene
weitere Beiträge in Branche
- Wenn zuvor harmlose Webseiten zu gefährliche Virenschleudern werden
- Bösartige Memes lösen Malware-Funktionen aus
- Deutsche Unternehmen gehackt – 43,5 Milliarden Schaden
- Check Point Security Report 2019: Cloud und Mobile Deployments schwächste Verbindungen in Unternehmensnetzwerken
- Anwendungsvirtualisierung: Beim Umstieg auf Container ist Know-how entscheidend
Aktuelles, Branche, Produkte, Studien, Umfragen - Feb 19, 2019 21:33 - noch keine Kommentare
Trend-Micro-Studie: Phishing häufigste Cyber-Angriffsmethode
weitere Beiträge in Service
- Sicherheitsgründe: Nutzer meiden bestimmte Online-Dienste
- Thema Datenschutz: Verbraucherreaktion kulturabhängig
- Neue Macht der Verbraucher zwingt Unternehmen zum Handeln
- Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
- Sichere digitale Infrastrukturen: Mehrheit der Nutzer bevorzugt inländische Datenspeicherung
Kommentieren