Weshalb Security in der Softwareentwicklung eine zentrale Rolle spielt
Security spielt in der Softwareentwicklung eine zentrale Rolle. Was es für einen systematischen Ansatz braucht, erklärt Peter Gassmann, Leiter Solution Engineering und Mitglied der Geschäftsleitung bei Abraxas Informatik.
Gibt es spezifische Anforderungen der öffentlichen Hand an Custom Software, die sich von denen der Privatwirtschaft unterscheiden?
Peter Gassmann: Die Unterschiede sind nicht sehr gross. Die öffentliche Hand fordert meist von Anfang an hohen Datenschutz, Informationssicherheit und längerfristige Betreibbarkeit. Bereits in der Beschaffung werden Wartungsreleases, Upgrades und Security-Patches verlangt. Punktuell wird auch der Einsatz von Bug-Bounty-Programmen gefordert. Bei Integrationen stehen die vom Verein eCH definierten Schnittstellen- und Austausch-Standards im Fokus.
Welcher systematische Ansatz wird in der sicheren Softwareentwicklung verfolgt, und welche Erfahrungen wurden damit gemacht?
Abraxas hat ein umfassendes Software Security Framework aufgebaut, das wir laufend weiterentwickeln. Herzstück ist der Secure Software Development Lifecycle: Er zeigt Projektleitenden sowie Architektinnen und Architekten auf, wann und wo Security im Prozess in welcher Form berücksichtigt werden muss. Bereits im Anforderungsprozess führen wir ein Threat Modelling durch – dabei denken wir wie mögliche Angreifer und berücksichtigen Gegenmassnahmen im Design. Unsere Software Security Group dient als Kompetenzzentrum und agiert zusammen mit dem eigenen Security Operations Center auch bei Notfällen als schnelle Eingreiftruppe. Automatisierte Prüfungen sind in den Build- und Release-Prozess integriert. Die Erfahrungen sind durchweg positiv: Die Security-Kultur ist gereift, was sich auch durch die tiefe Anzahl der Findings in unseren Bug-Bounty-Programmen und internen Prüfungen zeigt.
Gibt es aktuelle Trends in der Custom Software?
Als Basisinfrastruktur wird heute immer eine Container-Plattform, sprich Kubernetes, genutzt. Die Software profitiert damit direkt von relevanten Robustheits- und Skalierungsfunktionalitäten. Zudem wird Standardisierung bei Themen wie Monitoring, Logging sowie Build- und Release-Prozessen erleichtert. Das senkt Kosten und macht es einfacher, Entwicklerinnen und Entwickler in verschiedenen Projekten einzusetzen.
Empa-Roboter liefert grössten offenen Datensatz für Batterieforschung
Update: Nationale Adressdatenbank steht vor Schlussabstimmung
Samsung 9100 Pro SSD – maximale Power für anspruchsvolle User
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
Agentic AI transformiert die Unternehmens-IT
Peoplefone feiert Jubiläum und Partner an der ETH
Digitale Selbstbestimmung – was IT-Souveränität wirklich bedeutet
Fragmentierte Prozesslandschaften und Tool-Wildwuchs
KI-Power an der Limmat: Ideenlabor Zürich
