Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Software-Entwicklung und Sicherheit

Bei der Recherche zu diesem Thema hat sich rasch gezeigt, dass die Hersteller- und Technologie-unabhängige ISO-Norm 27034 (eingebunden in die ISO 27001 – ISMS), verbunden mit dem BSI-Leitfaden zur Entwicklung von sicheren Webanwendungen und dem Mapping mit dem Security Development Lifecycle SDL von Microsoft im Fokus steht bzw. aus meiner Sicht stehen sollte. Die ISO-Norm besteht aus acht Teilen, dabei bildet der Teil 27034-1 die sog. High Level Structure-Norm, die aus zwei Schlüssel-Frameworks (Organization Normative Framework (ONF) und Applications Normative Framework (ANF) besteht. Beim ONF werden alle anerkannten Security-Best-Practices subsummiert, die die Basis für die Applikationssicherheit im jeweiligen Unternehmen schafft. Das ANF ist dann eine auf die spezifische Applikation zugeschnittene Ableitung des ONF. SDL ist ein insbesondere unter Sicherheitsaspekten eingesetzter Prozess zur Qualitätssicherung in der Softwareentwicklung von Microsoft, der in der nachfolgenden Grafik mit dem ONF „gemappt“ wurde. Dabei werden die Sicherheitsanforderungen von in einem SDL üblichen Rahmen wie z.B. Legal and Corporate Affairs oder Human Ressources mit Blick z.B. auf länderspezifische Datenschutzanforderungen abgeleitet. Auch müssen Daten zu einer Software archiviert werden, damit das entsprechende Releasemanagement sichergestellt werden kann. Ein spannender Ansatz ist auch, die Softwareentwicklung sicherer zu machen bei Security by Design. Gemäss dem SIT Technical Report stellen die Sicherheitslücken in Anwendungssoftwareprodukten die stärkste Bedrohung dar. Dieser Bedrohung kann am besten entgegengewirkt werden, wenn der Sicherheit über den ganzen Lebenszyklus (z.B. gemäss SDL) einer Software grösstmögliche Beachtung geschenkt wird. Diesem Sachverhalt wurde bei der Weiterentwicklung bzw. Adaption von SDL entsprechend Rechnung getragen. Bei der iSQI (International Software Quality Institute) wird seit kurzer Zeit ein neuer Zertifi-zierungsstandard für „Sichere Softwareentwicklung“ am Markt propagiert. Dieser Standard schult Programmierer, Tester, Qualitäts- und Projektmanager hinsichtlich der Integration von Sicherheitsmassnahmen in das Design von Software und reagiert damit auf die hohe Marktnachfrage nach angriffsresistenter Software. Der Leitfaden des BSI zur Entwicklung sicherer Webanwendungen orientiert sich an den Standards zur Internet-Sicherheit, dem IT-Grundschutz, einem Massnahmenkatalog und Best Practices, der ÖNORM A 7700, dem Application Security Verification Standard (ASVS), dem Framework Open Software Assurance Maturity Model (SAMM) und der Studie Building Security In Maturity Model (BSIMM). Dabei steht auch der Secure Development Lifecycle-Ansatz SDL von Microsoft im Fokus. Das BSI legt Wert auf die Erstellung einer Sicherheitsrichtlinie, bei der u.a. die folgenden Punkte zu berücksichtigen sind: Anwendungsbereich, Bedeutung von Informationssicherheit, Gefährdungsanalyse, Vorgaben, Änderungsübersicht sowie eine Verpflichtungserklärung der Mitarbeitenden, dass sie die relevanten Richtlinien kennen und einhalten werden. Die Vorgaben im Entwicklungsprozess werden nach IPV (Initiale Planung & Vergabephase), KOP (Konzeption & Planung), IMP (Implementierung), TES (Testen) und AUB (Auslieferung & Betrieb) gegliedert. Der Leitfaden wird schlussendlich ergänzt durch umfangreiche Checklisten, die beim Life-Cycle-Management unterstützen sollen. Persönliche Einschätzung, auch mit Blick auf den aktuellen Arbeitgeber: Unsere aktuellen Softwareentwicklungsprojekte, seien es konzerninterne oder „richtige“ Kundenprojekte, sind weiterhin stark geprägt oder gar dominiert durch monetäre Rahmenbedingungen. Auch wenn seit einigen Jahren die Agilität als eigenständiger Entwicklungsansatz oder als Mischform zu und mit klassischem Prozessvorgehen verbunden worden ist und somit das Methoden- und Toolumfeld erweitert wurde, so spielen letztlich – nebst den finanziellen Vorgaben – nach wie vor das Projektsetting und das Stakeholder-Management eine zentrale Rolle. Der kurzfristige Zukauf von Ressourcen aufgrund von Dispositionsfehlern, der oft praktizierte Ressourcenplanungsansatz am Bürotisch (ohne aktiven Einbezug der Projektstimmung „an der Front“), das beharrliche Festhalten an suboptimalen Teamzusammensetzungen oder fehlende Management-Attention für die Hinweise bzw. den Handlungsbedarf durch die Projektleitung beeinflussen den Projektverlauf und letztlich auch den Erfolg massgeblich. Selbst in sensiblen, klassifizierten und dadurch in der Regel auch sehr sicherheitsrelevanten Vorhaben wird meines Erachtens der Sicherheit nach wie vor nicht ausreichend Rechnung getragen. Oft sind die Auftraggeber selber in einem Zwiespalt zwischen dem Vorschreiben und der Sicherstellung (auch was sie selber betrifft) von sicherheitsrelevanten Auflagen. Gleichzeitig dürfen dann aber diese „Mehrkosten“ nicht wirklich in die Budgetplanung einfliessen bzw. Nachträge sind grundsätzlich nicht möglich oder mit verfahrenstechnischen Hürden verbunden, die in der Regel sehr viel Zeit in Anspruch nehmen und somit Terminverzögerungen mit sich bringen. Es braucht letztlich das Suchen und Finden einer Balance zwischen den „zwingend“ einzuhaltenden Vorgaben und Standards mit den entsprechenden Konsequenzen in zeitlicher und monetärer Form sowie der fortlaufenden Sensibilisierung des oder der Kunden, der Kundin oder der Kundinnen für ein aktives Miteinander auf der Basis von Fairplay. Fairplay ist gerade im Umfeld und Umgang mit Verwaltungsinstitutionen oft ein schwieriges Unterfangen, das vor allem viel wiederkehrende Kundenpflege und die Schaffung von Vertrauen auf mittel- bis langfristige Frist notwendig macht. Insbesondere die Softwareentwicklung hat viel mit „People-Business“ und weniger (d.h. eben nicht vorwiegend) mit „Skills-Management“ zu tun.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.