Sicherheit in der Softwarearchitektur

Die Sicherheitsarchitektur bildet das Grundgerüst einer sicheren Webanwendung. Rund 50% aller Schwachstellen sind auf Fehler in diesem Bereich zurückzuführen. Gleichwohl ist die Korrektur zu einem späteren Entwicklungszeitpunkt mit deutlich höheren Kosten verbunden. Wird zudem ein bestimmtes Sicherheitsniveau der Webanwendung angestrebt, so lässt sich dieses meist nur mit einer geeigneten Sicherheitsarchitektur erreichen.

Wir können Sie in diesem Bereich auf unterschiedliche Weise unterstützen:

Bereitstellung projektbegleitender Security Architekten

Grade in Projekten mit hohen Sicherheitsanforderungen kann die Unterstützung durch einen erfahrenen Sicherheitsarchitekten von großer Hilfe sein und das Projekt vor sicherheitsrelevanten Fehlentscheidungen bzw. bei der Umsetzung und Dokumentation von Sicherheitsanforderungen entlasten.

Beispielhafte Tätigkeiten:

  • Ansprechpartner für Sicherheitsfragen aus dem Projekt (z.B. von Entwicklungsteams) und von außen (z.B. Security-Organisation)
  • Teilnahme an internen Abstimmungen (z.B. Refinements)
  • Erstellung und Pflege des Sicherheitskonzepts
  • Definition erforderlicher Sicherheitsmaßnahmen
  • Durchführung und Aktualisierung von Bedrohungsmodellen
  • Durchführung von Code- und Architektur-Reviews
  • Schulung / Coaching der Projektmiterbeiter
  • Definition (und ggf. Durchführung) von Sicherheitstests sowie Steuerung und Planung von Pentests

Eine solche Unterstützung kann natürlich auch in Teilzeit erfolgen, z.B. 2-3 Tage die Woche

Sicherheitsanforderungen / Threat Modeling

Mittels Threat Modeling lassen sich grade auf Architekturebene sehr effizient und frühzeitig potentielle Sicherheitsprobleme identifizieren und daraus relevante Maßnahmen ableiten. Ein Bedrohungsmodell kann hierbei auch in ein größeres Sicherheitskonzept integriert werden.

Durch die richtige Methodik funktioniert dies auch sehr gut in agilen Projekten.

Näheres hierzu findet sich unter unserer Detailseite zu Threat Modeling.

Cloud Security

Wer Anwendungen und Dienste über einen Cloud Service Provider (CSP) wie AWS oder Azure oder OTC verfügbar macht, der sollte zahlreiche Sicherheitsaspekte berücksichtigen, um diese ausreichend zu schützten. Wir unterstützten Sie hierbei auf unterschiedliche Weise:

  • Unterstützung bei der Auswahl einzelner CSPs und der Erstellung von Cloud Strategien in Bezug auf Sicherheitsaspekten
  • Erstellung individueller Sicherheitsvorgaben für die Cloud (z.B. Cloud Security Standards, technische Vorgaben für einzelne CSPs, Templates für SaaS-Provider)
  • Unterstützung bei der technischen Absicherung von Cloud-Umgebungen (IaaS und PaaS)
  • Durchführung technischer Sicherheitsanalysen
  • Definition von Security Architekturen für spezifische Projekte
  • Sicherstellung der Cloud Compliance (z.B. nach BSI C5 oder ISO 27017)
  • Coaching sowie projektbegleitende Beratung (On-Site und Off-Site)