< Large Page (Hugepages) für Java | JAX-WS ist böse? >

Sicherheit im Entwicklungsprozess

03:10

Donnerstag, 16. März 2006

Weil ich nebenbei dran bin das Thema IT-Sicherheit im Software Entwicklungsprozess aufzubereiten, hier eine Liste von möglichen Motivationspunkten. Wovor soll geschützt werden...

  • Das Image eines Software Unternehmens ist sehr wichtig. Vertrauen in die Beständigkeit und Leistungsfähigkeit des Softwarehauses ist eines der wichtige Auswahlkriterien bei der Beschaffung von Software..
  • Zumindest in Deutschland kann sich ein Unternehmen nicht aus der Produkthaftung befreien. Auch bei Auftragsarbeit besteht das Risiko von Regressansprüchen
  • Für bestimmte Einsatzbereich fordern Kunden Explizit Audits und Zertifizierungen des Entwicklungsprozesses. In bestimmten Bereichen wird dies auch durch Gesetzgeber oder Verwaltung gefordert. Compliance ist ein wichtiges neues Thema.
  • Software Unternehmen sind der Prototyp eines IT-lastigen Unternehmens. Entsprechend wichtig ist ein Securitymanagement in diesem Bereich.
  • Die IT gilt zwar gemeinhin als Rationalisierungsmittel, Software Hersteller und Beratungshäuser sind aber extrem personalintensive Dienstleistungsunternehmen. Der Faktor Mensch im Prozess bringt aber einige Probleme mit sich. Von personenbezogenen Daten über irrationales Verhalten (und der Herausforderung der Führung) bis hin zu den unvermeidlichen Fehlern.
  • Unternehmen mit hohem Anteil an F&E stehen unter verstärkter Wettbewerbsbeobachtung bis hin zur Industriespionage. Der Schutz von Intellectual Property wird oft als wichtiger Überlebensfaktor angesehen. Mit den drohenden Softwarepatenten wird diese Situation nur schlimmer.
  • Der Trend zur Software aus dem Regal (COTS) existiert auch in sicherheitskritischen Bereichen. Als Softwarehersteller kann man sich hier schnell in der Verantwortung finden. Menschenleben oder Menschenrechte können von der ordnungsgemäßen Funktion der Software abhängen.
Diese Gründe sprechen dafür der IT-Sicherheit im Entwicklungsprozess und im fertigen Produkt verstärkte Aufmerksamkeit zukommen zu lassen. Es gibt allerdings auch Herausforderungen zu meistern sind:
  • Die Aufgabenstellung ein sicheres System zu implementieren ist höchst Komplex, es gibt noch keine silberne Kugel. Weder bei den Methoden noch den Technologien. Oftmals spricht man von der jungen Wissenschaft Informatik
  • Der Teufel steckt im Detail, Angreifer müssen nur eine Lücke finden, Software Hersteller müssen alle Fehler vermeiden
  • Der Markt ist für den Kunden schwer zu überblicken. Kunden entscheiden sich wegen fehlendem Überblick, wegen mangelndem Bewusstsein oder wegen externen Zwängen nicht immer für die sicherste Lösung. In vielen Segmenten ist der Preisdruck hoch, Investitionen in Sicherheit werden weniger belohnt als Features oder Time-to-Market.
  • Vermutlich auch weil es Niemand wirklich im Griff hat sind Bugs akzeptiert. Es ist z.B. unwahrscheinlich dass ein Betriebsystem Hersteller für Virenanfälligkeit haften muss.
  • Selbst bei unbeschränktem Budget sind die Ressourcen knapp, es ist nicht möglich alle nötigen Positionen mit erfahrenen All-Round Experten zu besetzen. Und selbst wenn haben diese auch mal schwache Momente.
  • Software Entwicklung bewegt sich oft in einem Umfeld das geprägt ist durch Altlasten, Kompatibilität und ständige zusätzliche Anforderungen. Das führt zu sicherheitskritischem Wildwuchs.
  • Robuste Lösungen zeichnen sich durch Redundanz, definiertes Fehlverhalten und Sicherheit auf mehreren Ebenen aus. Dem Zugrunde liegt aber die Einsicht, dass es eine 100%ige Sicherheit nicht gibt. In vielen Bereichen ist es schlichtweg nicht Objektiv möglich zu definieren welcher Ansatz nun mehr Sicherheit bringt
  • Wenn im Entwicklungsprozess die Anzahl der Personen die Zugriff haben minimiert wird (zur Risikoreduzierung), so führt dies auch dazu dass weniger Personen informiert sind, Reviews durchfühen oder Funktionen mehrfach implementiert werden. Generell herrscht die Meinung, dass die Produktivität von Entwicklungsteams sinkt.
  • Faktoren wie Spezialisierung, Flexibilität und Geschwindigkeit bedingen zunehmend den Einsatz von Komponenten und Libraries von Dritter Seite. Die Integration dieser Software (oftmals auch Blackboxen) bringen neue Herausforderungen in allen Phasen des Produktlebenszyklus. Auch das Thema Open Source kann man hier zwiespältig beurteilen.
Zu jedem der Punkte kann man sicher einen ausführlichen Artikel schreiben. So ist es zum Beispiel bemerkenswert wie weit man mit Schönwetter-Software kommen kann. Man sehe sich nur den Shareware Markt für kleine nützliche Helferlein an. Aus Seiten der Software Industrie würden sicherlich einige hilfreiche Programme nicht geschrieben werden, wenn der Verbraucher eine gestärkte Position hätte und sein Risiko beim Einsatz in verstärktem Masse auf den Lieferanten abwälzen könnte (einfach weil das Risiko noch so groß ist).

Lassen Sie es mich wissen, welchen der Aspekte Sie besonders interessiert.
Geschrieben von Bernd Eckenfels in Java Programming, Sicherheit, SW Entwicklung | Kommentare (2) | Trackbacks (0)

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

*Hallo. Ich schreibe zurzeit meine Diplomarbeit. In diesem Zusammenhang habe ich unter http://www.siemens.de/index.jsp?sdc_p=ft4ml0s3u0o1368423i1137554pc61z3 einen interessanten Fachartikel entdeckt, der sich auch mit der wachsenden Bedeutung der IT-Sicherheit in Unternehmen befasst. Gerade der Punkt wovor geschützt werden soll wird dort ausführlich erläutert. Die Meinung anderer Leser dazu würde mich sehr interessieren!

Tobias Schmid
#1 Tobias Schmid am 19.05.2006 11:10 (Antwort)
*Ich persönlich finde solche Texte die mit "Workshop um Schutzniveau festzustellen" beginnen und mit "Firewall implementieren" enden immer sehr bedenklich. Auch wenn es drin steht, dass Sicherheit im Unternehmen ist ein Prozess, dieser hat kein Anfang und keine Ende, es ist sehr gefährlich dies nahe zu legen, denn man wird da gerne missverstanden (und der wichtige Teil ignoriert).

Ebenso tendieren Unternehmen bei einmalige größeren Investiotionen dazu dass man sich danach sicher fühlt, aber dann die Alltagskosten scheut.

Viel besser sind kleine Schritt und stetige Kontrolle und Verbesserung. Eventuell ganz ohne Kickoff und Investitionen.

Das soll jetzt nicht heissen dass man ohne definierte Ziele auskommt, aber viel zu oft bleibt es nach meiner Beobachtung bei diesen...

Gruss
Bernd
#1.1 Bernd Eckenfels (Homepage) am 19.05.2006 11:22 (Antwort)

Kommentar schreiben

BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss um dieses Verfahren anzuwenden.
CAPTCHA

Pavatar/Gravatar/Favatar/MyBlogLog Autoren Bilder werden unterstützt.
 
 

Impressum

Bernd Eckenfels
Mörscher Str. 8
76185 Karlsruhe
bernd-08(a)eckenfels.net
Read More

Suche

Kategorien


Alle Kategorien

Verlinkung

Eingehende Links

Umfrage

Inhouse Coding?
Java EE
.NET
RPG, PL1, Cobol, ...
Corba
Delphi
Acess / Excel / VBA
PHP

Archive

Kommentare

Bernd Eckenfels zu Webseiten Bugs (Twitter)
2008-09-19 02:04
*Sieht so nach unübersetzten Resourc e Keys aus. Aber ich hab auch die L ösung gefunden: wenn man angemeldet ist unte [...]


Bernd Eckenfels zu Google Lively
2008-09-18 07:10
*This was a decision at the beginnin g of the blog, because there are so many eglish blogs already. I know I wont ha [...]


Christian zu Webseiten Bugs (Twitter)
2008-09-17 13:24
*Denkst du das ist ein Übersetzungsf ehler? Denn "übersetzt" kann man d ie Sidebar bei Twitter ja nicht nen nen. Bei [...]


Christian @SYSTEMHELDEN.COM zu Die Zukunft der Virtualisierung
2008-09-04 16:59
*Hi Bernd, achtung, promo-komment ar! Uli Gräf hat 3 Videos heraus gebracht zur Virtualisierung, natür lich mit [...]


Marius Jost zu Google Lively
2008-09-01 16:31
*Tja, leider ist Lively eine .exe, d ie nicht gerade jeder ausführen dar f. Wer also in einem Unternehmen si tzt, brau [...]


Omer KARADENIZ zu Google Lively
2008-08-26 15:42
*Hello Why did u use only german ? Could u use a English option for th is blog. Thanks for this useful sha re. O [...]


Magdalena zu SaaS ERP: SAP Business ByDesign
2008-08-21 21:44
*Hi, I am currently a student of MBS “Information Systems for Busine ss Performance” at University Colle ge Cork, [...]


Bernd Eckenfels zu DSL und der gefürchtete Parser
2008-08-12 16:59
*Hmm Fowler lobt die einfachen DSLs und sagt man soll dafür einen Parse r bauen. Wenn man das aber jetz t nicht m [...]


Bernd Eckenfels zu Arbeitsplatz Schönheit bei der AxelSpringer AG
2008-08-12 10:35
*Leider keine Antworten, aber immerh in hab ich grade nen Artikel gefund en der oberflächlich beschreibt, wi e sich Ma [...]


Markus Kohler zu DSL und der gefürchtete Parser
2008-08-12 09:04
*Hallo Bernd, IMHO drückt sich Fow ler davor eine DSL Workbench zu ben utzen weil das der schwache Punkt v on "exter [...]


Archive

Oktober 2008 (0)
September 2008 (8)
August 2008 (5)
Das Neueste ...
Älteres ...

Blog abonnieren

XML RSS 0.91 feed
XML RSS 1.0 feed
XML RSS 2.0 feed
ATOM/XML ATOM 0.3 feed
ATOM/XML ATOM 1.0 feed
XML RSS 2.0 Kommentare

Blogsphere

netcraft uptime
Technorati Profile
Blog Network:
Topics:
IT, technology, java
Blog Networks
kostenloser Counter