#SecureSoftwareDevelopmentLifecycle #CyberSecurity #SSDLC #SoftwareDevelopment #InfoSec #CyberResilience
Während Cybersecurity grundsätzlich gemeinhin als ein wichtiges Thema anerkannt ist, wird Sicherheit bei der Software-Entwicklung mitunter etwas zu stiefmütterlich behandelt. Heute schreiben wir daher über das Thema Anwendungssicherheit. Unserer Projekterfahrung nach gelingt eine sinnvolle Integration von Sicherheitsanforderungen erst dann, wenn man sie nicht nur als integrales Feature der Software sieht, sondern sich das Sicherheitsverständnis im Arbeitsmodus der Anwendungsentwicklung widerspiegelt. Ein Framework, das Sicherheitsanforderungen in jeder Phase des Software-Lebenszyklus einbezieht, ist der Secure Software Development Lifecycle (SSDLC).
Der SSDLC ist ein strukturierter Prozess zur Entwicklung von Software, der sicherheitsrelevante Praktiken in den gesamten Entwicklungsprozess integriert. Im Gegensatz zur herkömmlichen Software-Entwicklung betont der SSDLC die Notwendigkeit des Sicherheitsbewusstseins bei Entwicklern und Anwendern, identifiziert Sicherheitsrisiken frühzeitig und implementiert Sicherheitskontrollen und Tests dazu in jeder Phase des Entwicklungsprozesses.
Auch aus Sicht der Aufsicht spielt die sichere Anwendungsentwicklung eine große Rolle (z.B. in DORA, VAIT/BAIT, …). So soll gewährleistet werden, dass Sicherheitsaspekte von Anfang an in den Entwicklungsprozess eingeflochten werden, um die Widerstandsfähigkeit von Finanz- und Versicherungsanwendungen gegenüber digitalen Risiken zu stärken und Compliance-Anforderungen zu erfüllen. Der SSDLC ist ein integraler Bestandteil einer umfassenden Sicherheitsstrategie für Unternehmen und Organisationen in der heutigen digitalen Landschaft.
Typische Phasen im SSDLC:
Der SSDLC ist aber nicht nur für die Entwicklung neuer Softwareanwendungen von entscheidender Bedeutung, sondern spielt auch eine wichtige Rolle bei der Aufwertung von Legacy-Systemen. Der Übergang eines bestehenden Systems zu einem SSDLC-Ansatz erfordert eine gründliche Analyse der vorhandenen Architektur, um Sicherheitslücken aufzudecken und veraltete Komponenten zu identifizieren. Eine sorgfältige Überprüfung von Legacy-Systemen zeigt oft, dass Sicherheitsanforderungen aktualisiert oder komplett überarbeitet werden müssen. Dies beginnt typischerweise bei der Codebasis und umfasst Maßnahmen wie Code-Scanning und -Refactoring sowie das Ersetzen von anfälligen Bibliotheken. Solche Anpassungen sind unerlässlich, um die Sicherheitsarchitektur zu stärken und den aktuellen Bedrohungen gerecht zu werden.
Auch für Legacy-Systeme empfehlen sich übrigens sorgfältige Security-Reviews und Testphasen. So sollten beispielsweise die üblichen Wartungs- und Entwicklungsprozesse um spezielle Security-Checkpoints erweitert werden. Oft ist auch eine Überarbeitung des Testkonzepts erforderlich. Die Implementierung automatisierter Security-Testing-Tools, die die Legacy-Codebasis auf Schwachstellen wie SQL-Injection oder Cross-Site-Scripting prüfen, ist ein effektiver Weg, Sicherheitsprobleme zu identifizieren. Diese Tools bieten einen erheblichen Vorteil gegenüber manuellen Code-Reviews, da sie schneller und zuverlässiger potenzielle Sicherheitsrisiken aufdecken können.
Last but not least ist die Software-Development-Culture integraler Bestandteil des gelebten SSDLC. Besonders relevant ist dabei die Schulung von Entwicklern, aber auch die Awareness in Managementfunktionen. Hier beobachten wir mitunter noch Nachholbedarfe, die erst durch entsprechende Trainings oder Awareness-Programme behoben werden können.
Sehr gerne unterstützen wir Sie bei der SSDLC-Integration als wichtigem Cyber-Security Baustein in Ihrem Unternehmen oder tauschen uns auch gerne mit Ihnen zum Thema aus. Kontaktieren Sie uns gerne:
Carsten Woltmann
E-Mail: carsten.woltmann@horn-company.de
Dr. David Bauder
E-Mail: david.bauder@horn-company.de
Ihr Tor zu Branchenkenntnissen und Expertenanalysen! Folgen Sie uns auf LinkedIn für exklusive Fachartikel und Einblicke.