idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
idw - Informationsdienst
Wissenschaft
Apps für das Smartphone und den Webbrowser sind Bestandteil unseres Alltags geworden und verarbeiten oftmals sensible Daten – beispielsweise über unsere Gesundheit und Finanzen. Der Schutz dieser Daten ist deshalb entscheidend. Eine Studie des Forschungsprojektes AppSecure.nrw hat hier einen dringenden Handlungsbedarf für softwareentwickelnde Unternehmen in Deutschland identifiziert. Das Projektteam erarbeitete deshalb praxisnahe Lösungen, um Apps von Beginn an sicher zu entwickeln. Gefördert wurde es von Januar 2019 bis Dezember 2021 vom Europäischen Fonds für regionale Entwicklung (EFRE.NRW) mit 1,5 Millionen Euro.
„Wir haben deutschlandweit den Status quo der sicheren Softwareentwicklung erhoben und warnen: Die Unternehmen müssen dringend mehr in die Software Security ihrer Produkte investieren. Damit meinen wir die Sensibilisierung und Schulung aller Beteiligten, aber auch den Einsatz von entsprechenden Methoden und Werkzeugen. Was ebenfalls oft unterschätzt wird: Sichere Apps sind Teamarbeit: Alle Beteiligten müssen ihre Rolle zur Absicherung der eigenen Produkte kennen und Security jederzeit mitdenken.“, erläutert Dr. Stefan Dziwok, Senior Researcher am Fraunhofer IEM und Projektleiter AppSecure.nrw.
Sichere Softwareentwicklung: Warum sie eine Teamaufgabe ist
Die Studie der Projektpartner Fraunhofer IEM, adesso mobile solutions GmbH, AXA Konzern AG und Connext Communication GmbH lieferte wichtige Impulse zur besseren Absicherung moderner Apps. Ziel war es, nicht nur Softwareentwickler:innen, sondern alle an der App beteiligten Personen einzubeziehen: Product Owner tragen beispielsweise Verantwortung für eine erfolgreiche und wirtschaftliche Umsetzung der App und müssen Software Security von Beginn an einfordern. Führungskräfte benötigen Instrumente, um die Security-Kompetenz ihrer Teams realistisch einzuschätzen und auszubauen.
Grundidee aller im Projekt erarbeiteten Lösungen ist das Prinzip Security by Design, das den Aspekt Software Security von Beginn an in den Entwicklungsprozess integriert. Auf diese Weise werden kostspielige Korrekturen verhindert und die Wahrscheinlichkeit für Sicherheitsvorfälle minimiert. Im Folgenden werden vier bedeutsame Lösungen vorgestellt:
1. Security Champion Training
Die Idee dieser Intensivschulung: In jedem Produktteam sollte mindestens eine Person umfangreiches Know-how zu Methoden und Werkzeugen der sicheren App-Entwicklung haben und auch intern weitergeben können. Obwohl das Training 130 Stunden umfasst, findet die große Mehrheit der bisherigen Teilnehmer:innen den Umfang passend. Zudem meinen nahezu alle Befragten, dass sich ihr Wissen und ihre Fähigkeiten bzgl. sicherer Softwareentwicklung aufgrund des Trainings deutlich verbessert haben. Erfahren Sie mehr zum Security Champion Training.
2. Software Security Trainings für Product Owner
Auf Grundlage der Studienergebnisse entwickelte das Projektteam von AppSecure.nrw eine Schulung speziell für Product Owner. Sie hat das Ziel, die Sensibilisierung für Software Security zu steigern und die Rolle der Product Owner in diesem Themenbereich zu vermitteln. Außerdem bauen die Teilnehmer:innen notwendige Kompetenzen auf, um der eigenen Rolle gerecht werden zu können. Erfahren Sie mehr zum Software Security Training für Product Owner
3. Reifegradmodell Security Belts
Die Security Belts sind ein neues Reifegradmodell für die Security-Kompetenz agiler Teams. Es ermöglicht nicht nur den aktuellen Reifegrad des Teams zu bestimmen, sondern unterstützt auch kosteneffizient die Steigerung der Software-Security-Kompetenz des gesamten Teams. Die Reifegrade werden dabei durch verschiedenfarbige Gürtel, wie u.a. vom Judo bekannt, dargestellt. Die Security Belts sind kostenlos auf Github verfügbar. Zum Reifegradmodell Security Belts
4. Neue Codeanalyse-Werkzeuge
Werkzeuge zur automatisierten Codeanalyse unterstützen bei der sicheren Softwareentwicklung: Sie erkennen und beheben im Stile einer Rechtschreibprüfung Sicherheitslücken schon während der Entwicklung. Die nützlichen Tools sind allerdings meist schwer zu bedienen. Das Projekt AppSecure.nrw fokussierte sich deshalb auf die bedarfsgerechte und benutzerfreundliche Gestaltung. Beispielsweise ist im Projekt das Open-Source-Tool SecuCheck entstanden, das Interessierte in Video-Tutorials kennenlernen können.
Dr. Stefan Dziwok (Mail: stefan.dziwok@iem.fraunhofer.de)
http://Reifegradmodell Security Belts: https://github.com/AppSecure-nrw/security-belts
http://AppSecure.nrw Software Security Studie (2021): https://www.appsecure.nrw/wp-content/uploads/2021/03/AppSecure_nrw_Studie.pdf
Sichere Software-Entwicklung ist Teamarbeit: Im Forschungsprojekt AppSecure.nrw entstanden konkrete ...
Fraunhofer IEM
Fraunhofer IEM
Wichtige Impulse für mehr Software Security in der App-Entwicklung: Die Projektpartner Fraunhofer IE ...
AppSecure.nrw
AppSecure.nrw
Merkmale dieser Pressemitteilung:
Journalisten, Wirtschaftsvertreter, Wissenschaftler
Gesellschaft, Informationstechnik, Wirtschaft
überregional
Forschungs- / Wissenstransfer, Forschungsprojekte
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
