Weshalb Security in der Softwareentwicklung eine zentrale Rolle spielt
Security spielt in der Softwareentwicklung eine zentrale Rolle. Was es für einen systematischen Ansatz braucht, erklärt Peter Gassmann, Leiter Solution Engineering und Mitglied der Geschäftsleitung bei Abraxas Informatik.
Gibt es spezifische Anforderungen der öffentlichen Hand an Custom Software, die sich von denen der Privatwirtschaft unterscheiden?
Peter Gassmann: Die Unterschiede sind nicht sehr gross. Die öffentliche Hand fordert meist von Anfang an hohen Datenschutz, Informationssicherheit und längerfristige Betreibbarkeit. Bereits in der Beschaffung werden Wartungsreleases, Upgrades und Security-Patches verlangt. Punktuell wird auch der Einsatz von Bug-Bounty-Programmen gefordert. Bei Integrationen stehen die vom Verein eCH definierten Schnittstellen- und Austausch-Standards im Fokus.
Welcher systematische Ansatz wird in der sicheren Softwareentwicklung verfolgt, und welche Erfahrungen wurden damit gemacht?
Abraxas hat ein umfassendes Software Security Framework aufgebaut, das wir laufend weiterentwickeln. Herzstück ist der Secure Software Development Lifecycle: Er zeigt Projektleitenden sowie Architektinnen und Architekten auf, wann und wo Security im Prozess in welcher Form berücksichtigt werden muss. Bereits im Anforderungsprozess führen wir ein Threat Modelling durch – dabei denken wir wie mögliche Angreifer und berücksichtigen Gegenmassnahmen im Design. Unsere Software Security Group dient als Kompetenzzentrum und agiert zusammen mit dem eigenen Security Operations Center auch bei Notfällen als schnelle Eingreiftruppe. Automatisierte Prüfungen sind in den Build- und Release-Prozess integriert. Die Erfahrungen sind durchweg positiv: Die Security-Kultur ist gereift, was sich auch durch die tiefe Anzahl der Findings in unseren Bug-Bounty-Programmen und internen Prüfungen zeigt.
Gibt es aktuelle Trends in der Custom Software?
Als Basisinfrastruktur wird heute immer eine Container-Plattform, sprich Kubernetes, genutzt. Die Software profitiert damit direkt von relevanten Robustheits- und Skalierungsfunktionalitäten. Zudem wird Standardisierung bei Themen wie Monitoring, Logging sowie Build- und Release-Prozessen erleichtert. Das senkt Kosten und macht es einfacher, Entwicklerinnen und Entwickler in verschiedenen Projekten einzusetzen.
Samsung meldet Rekordquartal dank KI
Warum nur wenige Unternehmen echten Nutzen aus KI ziehen
Cyberattacken auf Schweizer Unternehmen sind um 6 Prozent gestiegen
Microsoft fördert 11 Schweizer KI-Start-ups
Microsoft patcht aktiv ausgenutzte Sicherheitslücke in Office-Anwendungen
Warum Schweizer Daten in die Schweiz gehören
AI im Marketing: Prognose für 2026
Update: Seco behebt Probleme bei Auszahlungssystem
So können Unternehmen Lücken in ihrer digitalen Souveränität identifizieren
