Weshalb Security in der Softwareentwicklung eine zentrale Rolle spielt
Security spielt in der Softwareentwicklung eine zentrale Rolle. Was es für einen systematischen Ansatz braucht, erklärt Peter Gassmann, Leiter Solution Engineering und Mitglied der Geschäftsleitung bei Abraxas Informatik.
Gibt es spezifische Anforderungen der öffentlichen Hand an Custom Software, die sich von denen der Privatwirtschaft unterscheiden?
Peter Gassmann: Die Unterschiede sind nicht sehr gross. Die öffentliche Hand fordert meist von Anfang an hohen Datenschutz, Informationssicherheit und längerfristige Betreibbarkeit. Bereits in der Beschaffung werden Wartungsreleases, Upgrades und Security-Patches verlangt. Punktuell wird auch der Einsatz von Bug-Bounty-Programmen gefordert. Bei Integrationen stehen die vom Verein eCH definierten Schnittstellen- und Austausch-Standards im Fokus.
Welcher systematische Ansatz wird in der sicheren Softwareentwicklung verfolgt, und welche Erfahrungen wurden damit gemacht?
Abraxas hat ein umfassendes Software Security Framework aufgebaut, das wir laufend weiterentwickeln. Herzstück ist der Secure Software Development Lifecycle: Er zeigt Projektleitenden sowie Architektinnen und Architekten auf, wann und wo Security im Prozess in welcher Form berücksichtigt werden muss. Bereits im Anforderungsprozess führen wir ein Threat Modelling durch – dabei denken wir wie mögliche Angreifer und berücksichtigen Gegenmassnahmen im Design. Unsere Software Security Group dient als Kompetenzzentrum und agiert zusammen mit dem eigenen Security Operations Center auch bei Notfällen als schnelle Eingreiftruppe. Automatisierte Prüfungen sind in den Build- und Release-Prozess integriert. Die Erfahrungen sind durchweg positiv: Die Security-Kultur ist gereift, was sich auch durch die tiefe Anzahl der Findings in unseren Bug-Bounty-Programmen und internen Prüfungen zeigt.
Gibt es aktuelle Trends in der Custom Software?
Als Basisinfrastruktur wird heute immer eine Container-Plattform, sprich Kubernetes, genutzt. Die Software profitiert damit direkt von relevanten Robustheits- und Skalierungsfunktionalitäten. Zudem wird Standardisierung bei Themen wie Monitoring, Logging sowie Build- und Release-Prozessen erleichtert. Das senkt Kosten und macht es einfacher, Entwicklerinnen und Entwickler in verschiedenen Projekten einzusetzen.
Wie sich die Infrastruktur der Schweiz wandelt
Firmenporträt ensec
"Moderne Architekturen sind flexibel"
Bei Profondia immer an der richtigen Adresse
Was Mitarbeitende wirklich bindet – der psychologische Vertrag
Gemeinsam stärker – interne Kultur trifft externe Marktkenntnis
Diese Digitaltunternehmen gestalten die KI-Transformation in der Schweiz
Auslagern, was nicht zum Kerngeschäft gehört
Wie können Schweizer KMUs Tech-Talente anheuern und halten?
