Sichere Software entwickeln durch kompetente Beratung

Neues aus dem Geschäftsbereich Technisches Consulting

Von der klassischen Desktop-Anwendung und Apps auf dem Mobiltelefon über industrielle Steuerungssysteme bis hin zu Programmen, die auf einer Scheckkarte laufen – Software findet sich überall. Und auch die Eigenentwicklung von Softwarelösungen ist inzwischen in kaum einem Unternehmen mehr wegzudenken, ganz unabhängig von der Branche und Ausrichtung. In Zeiten hochgradig vernetzter Systeme bestehen in fast jeder Lösung Schnittstellen zur Außenwelt und damit eine Oberfläche für Angriffe. Auch ist an Softwareproduzenten die Anforderung gestellt, die Systeme und Netzwerke ihrer Kunden nicht durch unsichere Produkte zu gefährden. Die Rufe nach einer diesbezüglichen Haftung werden zunehmend lauter. Außerdem sind Änderungen an der Architektur oder an grundsätzlichen Sicherheitsmechanismen im späteren Verlauf der Entwicklung oder des Lebenszyklus einer Anwendung oft nur mit hohem Aufwand und langwierigen Migrationsprozessen umsetzbar. Daher empfiehlt es sich, bereits frühzeitig im Design- und Entwicklungsprozess Sicherheitsbetrachtungen anzustellen.

Diese Entwicklungsschritte einer Software begleitet die SySS

Zunächst ist es sinnvoll, sich einen Überblick zu verschaffen, welche unterschiedlichen Arten von Daten die Anwendung verarbeitet oder verwendet und welche Sicherheitsanforderungen für diese jeweils bestehen. Basierend auf technischen und funktionalen Anforderungen ergibt sich daneben im Designprozess eine erste Liste von Komponenten und Schnittstellen.

Nun gilt es, anhand dieser Informationen Privilegien-Grenzen  – also Schnittstellen, an denen Schutzmaßnahmen umgesetzt werden können – zu definieren bzw. zu identifizieren. An dieser Stelle kann es zur Erreichung des angestrebten Schutzniveaus bereits notwendig werden, weitere Komponenten und Schnittstellen einzuführen, also zusätzliche Anforderungen in den Designprozess einzubringen. Unterstützen kann hierbei eine formale Modellierung, die im weiteren Prozess bis hin zu einer detaillierten Bedrohungsanalyse und zugehörigen Dokumentation der jeweiligen Mitigationsmaßnahmen ausgebaut werden kann.

Aus der Architektur und den Sicherheitsanforderungen werden dann Bedrohungen identifiziert und geeignete Schutzvorkehrungen abgeleitet. Für einige Bedrohungen sind typische, allgemeine Lösungsansätze bekannt. Dazu gehören die Manipulation oder Einsichtnahme von Datenverkehr auf Netzwerkebene zwischen den Komponenten des Systems oder der Schutz vor unberechtigtem Zugriff. Situationsabhängig sind aber oft noch Abwägungen in der Ausgestaltung dieser Mechanismen zu treffen, etwa zwischen einfacher Benutzbarkeit und dem erreichten Sicherheitsniveau. Die SySS kann an dieser Stelle unterstützen und Varianten mit ihren Vor- und Nachteilen aufzeigen.

Andere Aspekte können hingegen sehr anwendungsspezifisch sein, wie etwa der Einsatz kryptografischer Methoden oder, damit verbunden, die Schlüsselverwaltung auf Anwendungsebene. In diesem Bereich sollte frühzeitig überprüft werden, ob das erklärte Schutzziel mit dem entwickelten Konzept auch tatsächlich erreicht werden kann. Die SySS kann dabei helfen, relevante Angriffsszenarien zu identifizieren und die daraus resultierenden Sicherheitsauswirkungen zu evaluieren.

Auf Basis unserer gesammelten Erfahrungen aus Sicherheitsanalysen können wir für die gewählten Technologien häufig auch schon frühzeitig Hinweise geben, in welchen Bereichen sicherheitsrelevante Entscheidungen getroffen werden müssen und wo besondere Vorsicht geboten ist.

Sie haben ein Entwicklungsprojekt, bei dem wir Ihnen beratend zur Seite stehen dürfen?

Falls wir Sie bei Ihren Entwicklungsvorhaben unterstützen dürfen, freuen wir uns auf Ihre Nachricht an anfrage(at)syss.de.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer