idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
idw - Informationsdienst
Wissenschaft
Apps für das Smartphone und den Webbrowser sind Bestandteil unseres Alltags geworden und verarbeiten oftmals sensible Daten – beispielsweise über unsere Gesundheit und Finanzen. Der Schutz dieser Daten ist deshalb entscheidend. Eine Studie des Forschungsprojektes AppSecure.nrw hat hier einen dringenden Handlungsbedarf für softwareentwickelnde Unternehmen in Deutschland identifiziert. Das Projektteam erarbeitete deshalb praxisnahe Lösungen, um Apps von Beginn an sicher zu entwickeln. Gefördert wurde es von Januar 2019 bis Dezember 2021 vom Europäischen Fonds für regionale Entwicklung (EFRE.NRW) mit 1,5 Millionen Euro.
„Wir haben deutschlandweit den Status quo der sicheren Softwareentwicklung erhoben und warnen: Die Unternehmen müssen dringend mehr in die Software Security ihrer Produkte investieren. Damit meinen wir die Sensibilisierung und Schulung aller Beteiligten, aber auch den Einsatz von entsprechenden Methoden und Werkzeugen. Was ebenfalls oft unterschätzt wird: Sichere Apps sind Teamarbeit: Alle Beteiligten müssen ihre Rolle zur Absicherung der eigenen Produkte kennen und Security jederzeit mitdenken.“, erläutert Dr. Stefan Dziwok, Senior Researcher am Fraunhofer IEM und Projektleiter AppSecure.nrw.
Sichere Softwareentwicklung: Warum sie eine Teamaufgabe ist
Die Studie der Projektpartner Fraunhofer IEM, adesso mobile solutions GmbH, AXA Konzern AG und Connext Communication GmbH lieferte wichtige Impulse zur besseren Absicherung moderner Apps. Ziel war es, nicht nur Softwareentwickler:innen, sondern alle an der App beteiligten Personen einzubeziehen: Product Owner tragen beispielsweise Verantwortung für eine erfolgreiche und wirtschaftliche Umsetzung der App und müssen Software Security von Beginn an einfordern. Führungskräfte benötigen Instrumente, um die Security-Kompetenz ihrer Teams realistisch einzuschätzen und auszubauen.
Grundidee aller im Projekt erarbeiteten Lösungen ist das Prinzip Security by Design, das den Aspekt Software Security von Beginn an in den Entwicklungsprozess integriert. Auf diese Weise werden kostspielige Korrekturen verhindert und die Wahrscheinlichkeit für Sicherheitsvorfälle minimiert. Im Folgenden werden vier bedeutsame Lösungen vorgestellt:
1. Security Champion Training
Die Idee dieser Intensivschulung: In jedem Produktteam sollte mindestens eine Person umfangreiches Know-how zu Methoden und Werkzeugen der sicheren App-Entwicklung haben und auch intern weitergeben können. Obwohl das Training 130 Stunden umfasst, findet die große Mehrheit der bisherigen Teilnehmer:innen den Umfang passend. Zudem meinen nahezu alle Befragten, dass sich ihr Wissen und ihre Fähigkeiten bzgl. sicherer Softwareentwicklung aufgrund des Trainings deutlich verbessert haben. Erfahren Sie mehr zum Security Champion Training.
2. Software Security Trainings für Product Owner
Auf Grundlage der Studienergebnisse entwickelte das Projektteam von AppSecure.nrw eine Schulung speziell für Product Owner. Sie hat das Ziel, die Sensibilisierung für Software Security zu steigern und die Rolle der Product Owner in diesem Themenbereich zu vermitteln. Außerdem bauen die Teilnehmer:innen notwendige Kompetenzen auf, um der eigenen Rolle gerecht werden zu können. Erfahren Sie mehr zum Software Security Training für Product Owner
3. Reifegradmodell Security Belts
Die Security Belts sind ein neues Reifegradmodell für die Security-Kompetenz agiler Teams. Es ermöglicht nicht nur den aktuellen Reifegrad des Teams zu bestimmen, sondern unterstützt auch kosteneffizient die Steigerung der Software-Security-Kompetenz des gesamten Teams. Die Reifegrade werden dabei durch verschiedenfarbige Gürtel, wie u.a. vom Judo bekannt, dargestellt. Die Security Belts sind kostenlos auf Github verfügbar. Zum Reifegradmodell Security Belts
4. Neue Codeanalyse-Werkzeuge
Werkzeuge zur automatisierten Codeanalyse unterstützen bei der sicheren Softwareentwicklung: Sie erkennen und beheben im Stile einer Rechtschreibprüfung Sicherheitslücken schon während der Entwicklung. Die nützlichen Tools sind allerdings meist schwer zu bedienen. Das Projekt AppSecure.nrw fokussierte sich deshalb auf die bedarfsgerechte und benutzerfreundliche Gestaltung. Beispielsweise ist im Projekt das Open-Source-Tool SecuCheck entstanden, das Interessierte in Video-Tutorials kennenlernen können.
Dr. Stefan Dziwok (Mail: stefan.dziwok@iem.fraunhofer.de)
http://Reifegradmodell Security Belts: https://github.com/AppSecure-nrw/security-belts
http://AppSecure.nrw Software Security Studie (2021): https://www.appsecure.nrw/wp-content/uploads/2021/03/AppSecure_nrw_Studie.pdf
Sichere Software-Entwicklung ist Teamarbeit: Im Forschungsprojekt AppSecure.nrw entstanden konkrete ...
Fraunhofer IEM
Fraunhofer IEM
Wichtige Impulse für mehr Software Security in der App-Entwicklung: Die Projektpartner Fraunhofer IE ...
AppSecure.nrw
AppSecure.nrw
Criteria of this press release:
Business and commerce, Journalists, Scientists and scholars
Economics / business administration, Information technology, Social studies
transregional, national
Research projects, Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
