Sicherheitsanforderungen

Den Ausgangspunkt jeder sicheren Anwendungen bilden geeignete Sicherheitsanforderungen. In vielen Fällen sind diese jedoch entweder unvollständig oder ungeeignet und werden daher innerhalb der Entwicklung häufig schlichtweg ignoriert. Ohne geeignete Sicherheitsanforderungen bleibt das angestrebte Sicherheitsniveau in den späteren Entwicklungsphasen dagegen den jeweiligen Entwicklern oder Architekten überlassen.

Die Spezifikation von (Projekt-)übergreifender Sicherheitsanforderungen ist zudem auch deshalb wichtig, um damit die Einhaltung geltender interner oder auch externer Vorgaben (z.B. OWASP, PCI DSS, BDSG, BSI) sicherzustellen.

Grade größeren Unternehmen empfehlen wir die Implementierung eines übergreifenden Security Standards für Web-basierte Anwendungen im Unternehmen. Wir bieten hierzu mit TSS-WEB, eine entsprechende Vorlage an, die kostenfrei verwendet werden darf. Aus diesem Standard lassen sich dann Guidelines für einzelne Technologie-Stacks (Java, .NET) und Frameworks ableiten.

Dieser Lösungsansatz ist in der folgenden Abbildung veranschaulicht:

requirements-pyramid-768x346

 

Neben solchen technischen Anforderungen, ist natürlich auch die Spezifikation fachlicher Sicherheitsanforderungen wichtig. Hierzu existieren verschiedene erprobte Verfahren, wie Evil User Stories oder Abuse Cases, die sich auch sehr gut im Rahmen einer agilen Softwareentwicklung einsetzen lassen.

Bei der Erstellung von Richtlinien und Guidelines legen wir großen Wert auf deren praktische Anwendbarkeit von den einzelnen Entwicklungsteams. Dies erreichen wir u.a. mit den folgenden Maßnahmen:

  • Berücksichtigung des Technologiestacks des Kunden (z.B. Java, JSF, Hibernate, IBM WebSphere)
  • Einbau von Code- und Konfigurationsbeispielen, die (soweit dies möglich ist) stets auf Korrektheit getestet werden
  • Einbeziehung von Ergebnissen vergangener Sicherheitsuntersuchungen (sofern vorhanden)
  • Abstimmung von Inhalten mit entsprechenden Stakeholdern
  • Durchführung von Qualifikationsmaßnahmen (z.B. Trainings) auf Basis der erstellten Richtlinien und Guidelines
  • Mögliche Formate: Word, PDF, HTML oder Confluence

 
Die Secodis hat über die Jahre umfassende Erfahrung mit der Erstellung von Sicherheitsanforderungen, speziell für den Java-Technologiestack, aufgebaut. Benötigen Sie aussagekräftige und sinvolle Sicherheitsrichtlinien oder -Guidelines für Ihre Entwicklung so fangen wir nicht „auf der grünen Wiese“ an, sondern bauen diese auf unserem vorhandenen Content in Deutsch und Englisch auf. Das ist für Sie nicht nur günstiger, sondern stellt auch eine hohe Qualität der erstellten Vorgaben sicher. Da Kunden ihre Security Guidelines häufig direkt in Confluence anlegen möchten, bieten wir hierzu gleich die Möglichkeit unseren Content als Confluence-Export einzubinden.