:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Wie Security Champions eine Sicherheitskultur schaffen 4 Best Practices für Cybersicherheit im Development
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Die Bedrohungslage durch Cyberangriffe nimmt zu, doch in der Softwareentwicklung wird Sicherheit oftmals noch nicht ausreichend berücksichtigt. Um Cybersicherheit nachhaltig im Entwicklungsteam zu verankern, setzen Unternehmen deshalb auf Security Champions.
Alle 39 Sekunden greifen Hacker Unternehmen an. Das Ziel: Datendiebstahl, Datenmissbrauch und Datenmanipulation. Laut einer Studie des Digitalverbands Bitkom sind im letzten Jahr 84 Prozent der befragten deutschen Unternehmen einem Angriff zum Opfer gefallen – Tendenz steigend.
Ein Grund für die rapide Zunahme an Cyberangriffen ist die immer komplexer werdende IT-Landschaft in Unternehmen, die die Arbeit von Sicherheitsexperten erschwert. Denn durch die Nutzung zahlreicher Systeme und Integrationen entstehen oftmals Schwachstellen und Einfallstore für Hacker.
Tatsächlich gibt es aber immer noch Unternehmensbereiche, in denen Sicherheitsanforderungen noch nicht ausreichend berücksichtigt werden. Zu diesen gehört auch die Softwareentwicklung. Um hier Abhilfe zu schaffen und zu gewährleisten, dass Cybersicherheit von Anfang an mitgedacht wird, etablieren Unternehmen daher immer häufiger sogenannte Security Champions.
Security by Design als Status Quo
Schnellere Entwicklungszyklen, Wartbarkeit, Usability sowie der Einsatz moderner IT-Infrastrukturen und der Cloud: Product Owner und Entwicklungsteams sehen sich zunehmend unter Druck gesetzt, die wachsenden Anforderungen im modernen Entwicklungsprozess miteinander zu vereinbaren.
Die Themen Datenschutz und -sicherheit kommen daher nicht selten zu kurz oder gewinnen erst in einem nachgelagerten Schritt an Relevanz. Dieser leichtfertige Umgang mit sicherheitstechnischen Anforderungen könnte jedoch schwerwiegende Konsequenzen haben, insbesondere im Hinblick auf die Cloud. Beispielsweise können Angreifer durch Schwachstellen in der Konfiguration der Cloud-Infrastruktur auf Datenbanken mit sensiblen Daten zuzugreifen.
Aus diesem Grund muss Sicherheit mit einem Security by Design-Ansatz systematisch und vom ersten Entwicklungsschritt an in den Prozess integriert werden. Security Champions wissen, welche Tätigkeiten dafür im Entwicklungsprozess durchgeführt werden müssen und unterstützen die Product Owner und Entwicklungsteams dabei, diese zu planen, sie angemessen zu priorisieren und effizient umzusetzen.
Eine Kultur für Cybersicherheit schaffen
Security Champions sind Mitarbeitende im Entwicklungsteam, die die explizite Aufgabe übernehmen, Cybersicherheit im Team mitzudenken und tief in den Entwicklungsprozess zu integrieren. Am besten eignen sich dafür Entwickler, Architekten oder Tester, da diese an Scrum-Meetings teilnehmen und somit in der Lage sind, Awareness für das Thema zu schaffen und Sicherheitsprobleme frühzeitig und kontinuierlich anzusprechen.
Doch welche Aufgaben übernimmt ein Security Champion konkret? Um eine Kultur für Cybersicherheit in Entwicklungsteams zu schaffen, helfen Security Champions den Entwicklungsteams, Sicherheit effektiv und effizient zu implementieren. Dieser Prozess startet mit der Definition grundlegender Sicherheitsanforderungen.
Dabei ist es wichtig, auch interne Anforderungen sowie gesetzliche Regulierungen zu berücksichtigen und den Schutzbedarf anhand einer Bedrohungs- und Risikoanalyse zu ermitteln. Schließlich bieten die Risiken, die potenzielle Sicherheitslücken für die Daten des Unternehmens darstellen, letztendlich Aufschluss darüber, warum und durch welche Maßnahmen das zu entwickelnde Produkt geschützt werden muss.
Im nächsten Schritt verankern Security Champions Sicherheit in den Prozessen und im Design, indem sie konkrete Maßnahmen priorisiert ins Backlog, in die Definition of Done sowie in die Architektur der Software einbringen. Das sorgt für die effiziente Umsetzung der Maßnahmen und kontrolliert deren Wirksamkeit mit Hilfe von regelmäßig ausgeführten Sicherheitskontrollen und Penetrationstests. Dabei sollen insbesondere Schwachstellen im Code vermieden und Sicherheitsaspekte in alle Codeüberprüfungen integriert werden.
Nachdem alle Maßnahmen fest in den Entwicklungsprozess eingebettet sind und kontinuierlich die Sicherheit verbessern, überwachen Sicherheitschampions die Security-KPIs und betreiben Patch- und Schwachstellenmanagement. Damit ist der Entwicklungsprozess stets gegen neue Bedrohungen gerüstet und die Sicherheit von Software, Systemen und Produkten als integraler Aspekt gewährleistet.
Potenzial von Security Champions ausschöpfen
Als zentrale Ansprechpartner für alle Themen rund um Sicherheit im Entwicklungsprozess, erfüllen Security Champions eine wichtige und anspruchsvolle Aufgabe. Deshalb reicht es nicht aus, lediglich eine Person im Team für diese Rolle zu designieren.
Um das Potenzial von Security Champions voll auszuschöpfen, müssen Unternehmen zeitliche und finanzielle Ressourcen aufwenden und die richtigen Voraussetzungen schaffen. Mit diesen vier Best Practices unterstützen und befähigen Unternehmen ihre Security Champions:
- Training: Damit Security Champions so schnell wie möglich in ihrer neuen Rolle starten können, ist es wichtig, dass sie in einem initialen Training Grundkenntnisse über ihre künftigen Aufgaben erlangen.
- Mentoring: Mit einem Mentoring-Programm stellen Unternehmen sicher, dass neue Security Champions einen Mentor bzw. Kollegen an die Seite gestellt bekommen, der bereits einschlägige Erfahrungen mit der Rolle hat und mit Expertenwissen im Hintergrund unterstützt sowie Sicherheit vermittelt. Denn Security Champions brauchen nicht nur das nötige Know-How, sondern auch viel Fingerspitzengefühl und zwischenmenschliche Fähigkeiten, beispielsweise um effektiv mit Product Owner und anderen Projektbeteiligten zu kommunizieren.
- Knowledge Base: Der Aufbau einer Wissensdatenbank spielt eine entscheidende Rolle für Security Champions. Bei Fragen oder fehlendem Wissen erleichtern die leicht zugänglichen Informationen deren Arbeitsalltag und gestalten die Umsetzung von Maßnahmen effizienter.
- Community: Ein organisierter Zusammenschluss von allen Security Champions in einem Unternehmen bietet die ideale Plattform, um Ideen auszutauschen und voneinander zu lernen. Mit (regelmäßigen) Veranstaltungen und/oder Deep Dives zu bestimmten Projekten werden Security Champions zur aktiven Teilnahme motiviert und können neue Ansätze oder Anregungen mit in ihr Projektteam nehmen.
* Stefan Fleckenstein ist Head of Cybersecurity bei MaibornWolff. Nach langjähriger Tätigkeit in der Softwareentwicklung übernahm Stefan Fleckenstein von 2010 bis 2020 als CIO die Verantwortung für die interne IT-Infrastruktur und Softwareentwicklung von MaibornWolff, zusätzlich zu seiner Arbeit in Kundenprojekten. Die Informationssicherheit wurde in dieser Zeit zu einem der Schwerpunkte seiner Arbeit, in der er MaibornWolff zur ISO 27001-Zertifizierung führte.
Durch die Kombination seiner Erfahrungen aus der Softwareentwicklung und der Informationssicherheit gründete Stefan den Bereich Cybersecurity bei MaibornWolff, der Kunden in allen Fragen der Sicherheit berät und unterstützt. Neben seiner Arbeit als Abteilungsleiter engagiert sich Stefan leidenschaftlich für die Entwicklung von Open-Source-Software.
(ID:49542061)
:quality(80)/p7i.vogel.de/wcms/e5/bf/e5bf891709028451115778a2c7c5efba/0107923205.jpeg "Trainings und Schulungen sind für Entwicklerinnen und Entwickler wichtig, vor allem hinsichtlich der Sicherheit. (Bild: <a href=https://unsplash.com/@headwayio>Headway</a>)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")