Ein neuer Ansatz, der Sicherheitsmaßnahmen von Anfang an einbezieht und unseren Kunden ein beruhigendes Gefühl vermittelt
Die Absicherung von Software wird oft auf eine einfache Sicherheitsbewertung am Ende der Entwicklung, kurz vor der Produktionsaufnahme, reduziert. Die Entdeckung einer Schwachstelle in diesem Stadium kann jedoch zu erheblichen zusätzlichen Kosten und Verzögerungen führen. Der Ansatz „Security by design“ schlägt vor, Sicherheitsmaßnahmen von Anfang an in den Softwareentwicklungsprozess zu integrieren und sie während des gesamten Lebenszyklus der Software beizubehalten. Dieser Ansatz beginnt mit einer Analyse der zu erreichenden Sicherheitsziele, der spezifischen Anforderungen und der architektonischen Entscheidungen zur Risikominderung bereits in der Entwurfsphase.
Welche Lösungen bietet Softcom eigentlich an?
Softcom hat bereits einen formalen „Security by design“-Ansatz in sein Angebot aufgenommen. Das bedeutet, dass bereits in der Entwurfsphase ein „Threat Modeling“ erstellt wird, ein Dokument, das während des gesamten Entwicklungs- und Wartungsprozesses als Referenz dient. In diesem Dokument wird die Lösung im Kontext dargestellt, wobei die IT-Umgebung des Kunden, die Endbenutzer und die integrierten Systeme mit ihren verschiedenen Datenströmen berücksichtigt werden. Die verschiedenen Bedrohungen werden identifiziert, bewertet und nach Prioritäten geordnet, so dass der Kunde fundierte Entscheidungen für ein optimales Risiko- und Kostenmanagement treffen kann.
Aber was ist „Threat Modeling”?
Nehmen wir das Beispiel der Gebäudekonstruktion. So wie ein Haus unter Berücksichtigung seines Standorts, seiner Umgebung und seines Inhalts so konstruiert werden muss, dass es gegen Eindringlinge geschützt ist, so muss auch eine IT-Lösung so konzipiert werden, dass die potenziellen Bedrohungen, die sich aus dem jeweiligen Nutzungskontext ergeben, berücksichtigt werden. Die Bedrohungsmodellierung ist daher das Äquivalent zu einem Sicherheitsplan für eine IT-Lösung und ermöglicht es, die erforderlichen Schutzmaßnahmen in Abhängigkeit von den ermittelten Risiken zu definieren.
Was sind die Vorteile dieses Ansatzes?
Die Integration der Sicherheit in die frühen Entwurfsphasen hat viele Vorteile. Insbesondere lässt sich das erforderliche Sicherheitsniveau je nach Nutzungskontext genau festlegen, wodurch sich die Gesamtrisiken und -kosten verringern und gleichzeitig ein optimales Qualitätsniveau gewährleistet wird. Darüber hinaus erleichtert eine gut dokumentierte Sicherheitsarchitektur die Durchführung späterer Sicherheitsbewertungen, wie z. B. Penetrationstests. Auf diese Weise kann Softcom während des gesamten Projekts optimale Sicherheit gewährleisten und seinen Kunden ein beruhigendes Gefühl vermitteln.
Zusammenfassend lässt sich sagen, dass Softcom diesen Ansatz gewählt hat, weil das Unternehmen davon überzeugt ist, dass „Security by design“ eine wesentliche Investition für seine Kunden darstellt, die über die gesetzlichen Anforderungen wie ISO 27001 hinausgeht. Die Bedrohungsmodellierung als konkretes Ergebnis bietet Transparenz und einen greifbaren Beweis für Softcoms Engagement in Sachen Sicherheit. Darüber hinaus schlägt sich diese Anfangsinvestition schnell in Zeit- und Kosteneinsparungen sowie in einem besseren gegenseitigen Verständnis zwischen Softcom und seinen Kunden nieder.
