Weshalb Security in der Softwareentwicklung eine zentrale Rolle spielt
Security spielt in der Softwareentwicklung eine zentrale Rolle. Was es für einen systematischen Ansatz braucht, erklärt Peter Gassmann, Leiter Solution Engineering und Mitglied der Geschäftsleitung bei Abraxas Informatik.
Gibt es spezifische Anforderungen der öffentlichen Hand an Custom Software, die sich von denen der Privatwirtschaft unterscheiden?
Peter Gassmann: Die Unterschiede sind nicht sehr gross. Die öffentliche Hand fordert meist von Anfang an hohen Datenschutz, Informationssicherheit und längerfristige Betreibbarkeit. Bereits in der Beschaffung werden Wartungsreleases, Upgrades und Security-Patches verlangt. Punktuell wird auch der Einsatz von Bug-Bounty-Programmen gefordert. Bei Integrationen stehen die vom Verein eCH definierten Schnittstellen- und Austausch-Standards im Fokus.
Welcher systematische Ansatz wird in der sicheren Softwareentwicklung verfolgt, und welche Erfahrungen wurden damit gemacht?
Abraxas hat ein umfassendes Software Security Framework aufgebaut, das wir laufend weiterentwickeln. Herzstück ist der Secure Software Development Lifecycle: Er zeigt Projektleitenden sowie Architektinnen und Architekten auf, wann und wo Security im Prozess in welcher Form berücksichtigt werden muss. Bereits im Anforderungsprozess führen wir ein Threat Modelling durch – dabei denken wir wie mögliche Angreifer und berücksichtigen Gegenmassnahmen im Design. Unsere Software Security Group dient als Kompetenzzentrum und agiert zusammen mit dem eigenen Security Operations Center auch bei Notfällen als schnelle Eingreiftruppe. Automatisierte Prüfungen sind in den Build- und Release-Prozess integriert. Die Erfahrungen sind durchweg positiv: Die Security-Kultur ist gereift, was sich auch durch die tiefe Anzahl der Findings in unseren Bug-Bounty-Programmen und internen Prüfungen zeigt.
Gibt es aktuelle Trends in der Custom Software?
Als Basisinfrastruktur wird heute immer eine Container-Plattform, sprich Kubernetes, genutzt. Die Software profitiert damit direkt von relevanten Robustheits- und Skalierungsfunktionalitäten. Zudem wird Standardisierung bei Themen wie Monitoring, Logging sowie Build- und Release-Prozessen erleichtert. Das senkt Kosten und macht es einfacher, Entwicklerinnen und Entwickler in verschiedenen Projekten einzusetzen.
Schweizer Bevölkerung vertraut KI etwas mehr und dem Datenschutz etwas weniger
HSG, ETH und Zurich tüfteln an KI-Lösungen für die Versicherungsbranche
Meerschweinchen frisst verschiedene Snacks
Einladung zum Webinar: Wie KI, Robotik und Drohnen unser Vertrauen herausfordern
Update: Bundesrat will Social-Media-Plattformen regulieren
Schweizer ICT-Industrie setzt an der Gitex in Dubai Akzente
Schweizer KMUs verlieren Vertrauen in ihre Cybersicherheit
Spitäler und Post setzen auf 44ai für KI-Lösung im Gesundheitswesen
Sens eRecycling führt 70'000 Tonnen Wertstoffe zurück in Rohstoffkreislauf
