Sichere Softwarelösungen zu entwickeln ist eine äußerst komplexe Aufgabenstellung: Sicherheitsexperten und Security-Werkzeuge allein können sie nicht bewältigen. Sicherheitslücken bei der Softwareentwicklung zu vermeiden oder zu schließen, erfordert die erfolgreiche Verankerung von Softwaresicherheit über den gesamten Lebenszyklus einer Softwarelösung hinweg. Mit einem Rahmenwerk für sichere Softwareentwicklung unterstützen die Security-Spezialisten des Fraunhofer AISEC Entwicklerteams dabei, Schwachstellen in ihren Arbeitsprozessen schnell zu finden und gezielt zu beheben.

Cyberangriffe auf Programme und IT-Systeme von Unternehmen, öffentlichen Einrichtungen und Privatpersonen sind allgegenwärtig. Nach Angaben des Bundesministeriums für Bildung und Forschung BMBF werden täglich drei bis fünf schwere Angriffe allein auf die Netze der Deutschen Bundesbehörden ausgeführt. 96 Prozent aller deutschen KMU waren bereits mindestens einmal von einem Sicherheitsvorfall betroffen. Befragungen von amerikanischen und europäischen Softwareexperten für die von Forrester Research erstellte Studie »The Software Security Risk Report« zeigen, dass dabei Schwachstellen in der Anwendungsschicht wichtigste Angriffspunkt sind. Die Zahlen verdeutlichen, dass die Softwaresicherheit für Entwickler immer noch eine der größten Herausforderungen ist, denn sie ist nicht einfach zu bewerkstelligen. Es reicht nicht einzelne Verfahren und Werkzeuge anzuwenden und Sicherheitsexperten isoliert mit der Lösung der Sicherheitsprobleme zu beauftragen. »Sicherheit in Softwareanwendungen umfassend zu integrieren erfordert einen koordinierten Ansatz von der Planung der Security-Aspekte über die Umsetzung der Maßnahmen in den Entwicklungsprozessen bis zur Messung und Überwachung des erreichten Sicherheitsniveaus«, erklärt Jörn Eichler, Leiter der Abteilung Secure Software Engineering an der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit AISEC. Die dafür notwendigen Maßnahmen setzen dabei entlang des gesamten Lebenszyklus eines Softwareprodukts an. Die Sicherheitsaspekte betreffen also nicht nur die Arbeit der Security-Spezialisten, sondern die Arbeitsprozesse aller Beteiligten vom Produktmanager bis zu den einzelnen Entwicklerteams.

»Die Softwaresicherheit entspricht sportlich ausgedrückt einem Vierkampf, der nur zu gewinnen ist, wenn die vier Disziplinen Planung, Umsetzung, Messung und Überwachung in der Entwicklung gleichermaßen berücksichtigt werden«, so Eichler. In der Praxis hat sich dabei die Planung und Umsetzung von Maßnahmen für mehr Softwaresicherheit in überschaubaren Schritten als besonders erfolgreich erwiesen. So kann zum einen die Komplexität der Zusammenhänge in den Entwicklungsprozessen bei Planung und Umsetzung beherrscht werden. Und zum anderen lässt sich der Erfolg der einzelnen Maßnahmen individuell messen und das Zusammenwirken überprüfen. Voraussetzung dafür ist allerdings, dass die einzelnen Verfahren und Werkzeuge zur Erhöhung der Softwaresicherheit nahtlos in die jeweils vorhandene Entwicklungsumgebung und in die bestehenden Prozessketten der Unternehmen integriert werden: Es gibt also keinen einheitlichen Best-Practice-Weg zu mehr Softwaresicherheit. »Dennoch müssen die Unternehmen bei Planung, Umsetzung und Überprüfung von Verbesserungsprozessen nicht bei Null anfangen«, erklärt Eichler. Unterstützung bieten die Forscher von Fraunhofer AISEC den Sicherheitsexperten und Softwareentwicklern mit einem Rahmenwerk für sichere Softwarelösungen. Dazu haben sie das Wissen aus der Projektforschung sowie die Erfahrungen aus Umsetzungsprojekten in Unternehmen unterschiedlicher Branchen dokumentiert und zusammen mit einer Sammlung aus Methoden, Vorgehensweisen und Werkzeugen in einer Wissensbasis schnell und komfortabel zugänglich gemacht.

In dem Rahmenwerk für sichere Softwarelösungen werden alle vier Aspekte von der Planung und Umsetzung bis hin zur Messung und Überwachung direkt miteinander kombiniert. »Das erleichtert die Umsetzung sicherheitsrelevanter Aspekte in der Softwareentwicklung als pragmatische wie nachweislich wirksame Lösungsbausteine«, so Eichler. Unternehmen, die Software als Bestandteil ihrer Produkte und Dienstleistungen entwickeln profitieren insbesondere von der Möglichkeit, Verbesserungsprozesse mit ganzheitlichem und zielgerichtetem Ansatz, aber dennoch in durch- und überschaubaren Umsetzungsschritten durchführen zu können.

Für die Verbesserung der Softwaresicherheit im Entwicklungsprozess werden beispielsweise durch Analysen der Entwicklungsprozesse und die Befragung der Softwareentwickler sowohl der Ist-Zustand als auch konkrete Ziele der Maßnahmen zur Erhöhung der Softwaresicherheit bestimmt. Mit Unterstützung des Fraunhofer AISEC-Rahmenwerks lassen sich dann geeignete Maßnahmen und Werkzeuge für die jeweilige Aufgabe zusammenstellen. Die darauf abgestimmte Planung der Entwicklungsprozesse und die Auswahl geeigneter Maßnahmen bilden anschließend die Grundlagen für die Konstruktion sicherer Softwarelösungen. Für ihre Umsetzung werden die Maßnahmen schließlich für den Einsatzkontext individualisiert und entsprechende Werkzeuge zur Unterstützung und Automatisierung eingesetzt. Weil das Rahmenwerk zusätzlich die entsprechenden Verfahren und Werkzeuge zur Messung der Qualität des Entwicklungsprozesses und der daraus resultierenden Softwarekomponenten umfasst, ist eine »Gesamtschau« des Erfolges möglich.

»Oftmals lässt sich die Berücksichtigung von Sicherheitsaspekten beispielsweise schon über Plug-ins in bestehende Entwicklungswerkzeuge integrieren«, erklärt Eichler. Damit lasse sich eine nutzerfreundliche Einbindung in bestehende Prozesse, etwa über einige wenige zusätzliche Abfragen oder Dokumentationspunkte im Workflow eines Entwicklers, erreichen und eine schnelle sowie zuverlässige Analyse und Umsetzung der Sicherheitsanforderungen gewährleisten. Da zudem Effekte von Verbesserungsmaßnahmen mit den entsprechenden Verfahren und Tools messbar werden, ist ein schrittweises Erreichen der gesetzten Ziele und eine laufende Kontrolle und Anpassung der weiteren noch geplanten Maßnahmen möglich. (mab)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Acht + = 8
Bitte Zahl eintragen!
image description
Experte
Alle anzeigen
Dr. Jörn Eichler
  • Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC
Weitere Artikel
Alle anzeigen
Normal oder anomal, das ist hier die Frage
Die Suche im digitalen Heuhaufen
Produktion blind vernetzt
Veranstaltungen
Alle anzeigen
Stellenangebote
Alle anzeigen