Cybersecurity

Cybersicherheit in der Softwareentwicklung

Software sollte benutzerfreundlich und gut gestaltet sein, aber die Anwendungen müssen auch sicher sein. Nutzer können die Sicherheit erhöhen, indem sie komplexe Passwörter verwenden, ihre Geräte nur mit sicheren Netzwerken verbinden usw.  Andererseits müssen die Unternehmen und Organisationen, die die Software entwickeln, die Risiken minimieren und die Qualität ihrer Produkte erhöhen, um sicherzustellen, dass die User Experience gut und die Anwendung trotzdem sicher ist. Dies können sie erreichen, indem sie eine Cyber-Qualitätssicherung (QS) von Anfang an an Bord haben. 

Business, technology, internet and networking concept. Young businesswoman working on his laptop in the office, select the icon security on the virtual display.
; Shutterstock ID 1097989835; Projektnummer (Pxxxx): P3311; Kunde/Lizenznehmer: ERGO Group AG; Job/Projekt: Recruiting Roll up IT Specialist; Ansprechperson Roba: Catja Vetter

Versicherer haben bereits bewiesen, dass sie Teil der Lösung sein können, wenn es um den Aufbau von Widerstandsfähigkeit und Abwehrbereitschaft gegen Cyber-Risiken geht. Die Implementierung geeigneter Maßnahmen und Kontrollen könne als eine Art "digitale Impfung" gegen Cyber-Risiken angesehen werden, sagt  etwa die Munich Re:

https://www.munichre.com/topics-online/de/digitalisation/cyber/cyber-insurance-risks-and-trends-2021.html

Zu den besonders gefragten Präventionsdienstleistungen gehören Netzwerksicherheit, die Sicherung kritischer Systeme und Daten, Anti-Malware-Tools, Identitäts- und Zugangsmanagement sowie IT-Sicherheitsberatung. 

An welchen Stellen im Softwareentwicklungsprozess Security-Maßnahmen sinnvoll sind, habe ich in dieser Tabelle zusammengefasst: 

  1. Schon bei der Definition der strategischen Ziele für die Software-Anwendung ist es ratsam, gleichzeitig die strategischen Sicherheitsziele zu festzulegen und die Risikobewertung vorzubereiten.
  2. In der Planungsphase werden die Anforderungen identifiziert, die Teamstruktur festgelegt und eine Roadmap erstellt. Hier hat die Cyber QS die Aufgabe, dies analog für die sicherheitsrelevanten Aspekte zu tun.  Insbesondere eine Roadmap für Dokumentation und Tests auf Grundlage der Risikobewertung sollten in dieser Phase festgelegt werden.
  3. Im Hinblick auf das UI/UX Design sollte es neben der Entwicklung eines ausgefeilten Benutzererlebnisses auch um den Schutz persönlicher Daten gehen.
  4. Bei der technischen Umsetzung arbeiten Entwickler und Sicherheitsexperten Hand in Hand, um die Umnsetzung der Empfehlungen bei jedem Schritt sicherzustellen.
  5. Dies gilt auch für die Testphase: Neben der Validierung der Qualität aus Software-Entwickler-Perspektive wird auch getestet, ob alle Sicherheitsmaßnahmen entsprechend der Vorgaben funktionieren.
  6. Um Sicherzustellen, dass die Anwendung dauerhaft den aktuellen (und sich verändernden) Sicherheitsanforderungen genügt, ist die Bereitstellung eines Supportteams empfehlenswert.
     

Zusammenfassend lässt sich sagen, dass die Cyber QS in jeder Phase der Anwendungsentwicklung der beste Freund der Softwareentwickler sein sollte, denn die Cyber QS ist wie ein Rundum-Wächter für die Anwendung.  In einer Serie rund um den Cyber-QS-Prozess werde ich die einzelnen Punkte hier auf //next in Kürze genauer betrachten.

Bis dahin gibt es hier weitere spannende Infos zum Thema QS und Caybersecurity: https://qantum.medium.com/qa-and-cybersecurity-fa1968cd728c

Text: Bartosz Pudło, Security QA bei ERGO Technology & Services