Sicherheit in der Softwarearchitektur
Die Sicherheitsarchitektur bildet das Grundgerüst einer sicheren Webanwendung. Rund 50% aller Schwachstellen sind auf Fehler in diesem Bereich zurückzuführen bzw. dort bereits sichtbar. Sicherheitsaspekte erst spät im Entwicklungsprozess zu berücksichtigen ist nicht nur teurer, sondern führt in den seltensten Fällen auch zu einer wirklich sicheren Anwendung. Eine robuste Sicherheitsarchitektur ist daher grade für kritische Geschäftsanwendungen unabdingbar.
Wir können Sie in diesem Bereich auf unterschiedliche Weise unterstützen:
Bereitstellung projektbegleitender Security Architekten
Grade in Entwicklungsprojekten mit hohen Sicherheitsanforderungen kann die Unterstützung durch einen erfahrenen Sicherheitsarchitekten von großer Hilfe sein der dort bei sicherheitsrelevanten Themen unterstützten und dem Projekt vor Fehlentscheidungen bewahren kann.
Beispielhafte Tätigkeiten:
- Ansprechpartner für Sicherheitsfragen im Projekt
- Erstellung und Pflege der Sicherheitsarchitektur
- Planung der Umsetzung von Sicherheitsmaßnahmen
- Durchführung und Aktualisierung von Bedrohungsmodellen
- Durchführung von Code- und Architektur-Reviews
- Integration von Sicherheitsscans und Auswertung von Toolergebnissen
- Durchführung von Sicherheitstests sowie Steuerung und Planung von Pentests
- Projektbegleitende Coaching der Projektmitarbeiter
Eine solche Unterstützung kann natürlich auch in Teilzeit erfolgen, z.B. 2-3 Tage die Woche.
Sicherheitsanforderungen / Threat Modeling
Mittels Threat Modeling lassen sich grade auf Architekturebene sehr effizient und frühzeitig potentielle Sicherheitsprobleme identifizieren und daraus erforderliche Maßnahmen ableiten. Ein Bedrohungsmodell kann hierbei auch in ein Sicherheitskonzept integriert werden.
Durch die richtige Methodik funktioniert dies auch sehr gut in agilen Projekten.
Näheres hierzu findet sich unter der Detailseite zu Threat Modeling.
Cloud Security
Wer Anwendungen und Dienste über einen Cloud Service Provider (CSP) wie AWS oder Azure oder OTC verfügbar macht, der sollte zahlreiche Sicherheitsaspekte berücksichtigen, um diese ausreichend zu schützten. Wir unterstützten Sie hierbei auf unterschiedliche Weise:
- Unterstützung bei der Auswahl einzelner CSPs und der Erstellung von Cloud Strategien in Bezug auf Sicherheitsaspekten
- Erstellung individueller Sicherheitsvorgaben für die Cloud (z.B. Cloud Security Standards, technische Vorgaben für einzelne CSPs, Templates für SaaS-Provider)
- Unterstützung bei der technischen Absicherung von Cloud-Umgebungen (IaaS und PaaS)
- Durchführung technischer Sicherheitsanalysen
- Definition von Security Architekturen für spezifische Projekte
- Sicherstellung der Cloud Compliance (z.B. nach BSI C5 oder ISO 27017)
- Coaching sowie projektbegleitende Beratung (On-Site und Off-Site)