Sicherheitspraktiken für Softwareprojekte mit OpenSAMM

Unabhängig davon, ob Sie Softwareentwicklungsprojekte an spezialisierte Anbieter auslagern oder die Entwicklung innerhalb Ihres Unternehmens durchführen, ist die Softwaresicherheit ein wichtiger, aber oft vernachlässigter Aspekt. Besonders in der sehr schnelllebigen Welt der Webanwendungen, der agilen Entwicklungsprozesse und der nicht enden wollenden Feature-Backlogs. Wie soll man unter solchen Umständen Zeit für Sicherheitsaspekte finden?

Webanwendungen benötigen jedoch zusätzliche Massnahmen, um sicher zu sein. Webanwendungen sind aufgrund ihrer offenen Zugänglichkeit über das öffentliche Internet extrem anfällig für Angriffe. Allzu oft sind Webanwendungen zwar dem öffentlichen Internet zugewandt, enthalten aber auch digitale Workflow-Funktionen und Datenbanken, die intern und für den Erfolg des Unternehmens entscheidend sind. In den meisten Fällen stellen Unternehmen solche Anwendungen bereitwillig auf Internet-Servern bereit, da die Anwendungen an der Schnittstelle zwischen internen Geschäftsfunktionen und externen Interessengruppen arbeiten. Daher ist es keine Lösung, die Anwendung einfach aus dem Internet zu nehmen (und würde auch die internen Risiken nicht mindern). Diese Webanwendungen stellen in der Regel geistiges Eigentum des Unternehmens, vertrauliche Daten oder anderweitig wertvolle Geschäftsdaten dar. Ein erfolgreicher Angriff auf eine solche Webanwendung kann daher für das angegriffene Unternehmen verheerend sein.

Fragen zur Softwaresicherheit

Es gibt mehrere wichtige Fragen zur Softwaresicherheit:

• Was sind die Bedrohungen?
• Wie hoch sind die potenziellen Schäden?
• Was sind mögliche Angriffsvektoren?
• Wie können wir die Risiken mindern?
• Welche Software setzen wir tatsächlich ein?
• Von welchen Software- (und Hardware-) Komponenten sind wir abhängig?
• Wie können wir einen Entwicklungsprozess implementieren, der Sicherheitsaspekte konsequent einbezieht?
• Was sind die besten Praktiken für Software- und Datensicherheit?

Um diese Fragen zu beantworten und sicherheitsrelevante Probleme effektiv anzugehen, sind Unternehmen gut beraten, sich auf ein ausgereiftes Software-Sicherheits-Framework zu stützen. Das Open Software Assurance Maturity Model (OpenSAMM) ist genau das, und es ist ein offenes Framework, was bedeutet, dass Sie es kostenlos erlernen und verwenden können.

OpenSAMM als Rahmenwerk und Maturity Model

OpenSAMM hilft Organisationen, die folgenden Punkte zu erreichen [Auszug aus der OWASP OpenSAMM-Website, durch den Autor auf Deutsch übersetzt]:

• Bewertung der bestehenden Software-Sicherheitspraktiken einer Organisation
• Aufbau eines ausgewogenen Programms zur Gewährleistung der Softwaresicherheit in klar definierten Iterationen
• Demonstration konkreter Verbesserungen an einem Sicherheitsprogramm
• Definition und Messung von sicherheitsrelevanten Aktivitäten innerhalb einer Organisation

OpenSAMM ist ein Rahmenwerk, das Ihnen dabei hilft, Risiken zu identifizieren und zu bekämpfen. Dabei werden spezifische Risiken identifiziert, welche für Ihre Organisation und die in der Organisation eingesetzte Software zutreffen. OpenSAMM unterteilt die Softwareentwicklung in vier Geschäftsfunktionen:

• Governance
• Konstruktion
• Verifizierung
• Betrieb

Jede Geschäftsfunktion umfasst drei Sicherheitspraktiken. Für jede Sicherheitspraxis definiert das Rahmenwerk vier Reifegrade von 0 bis 3 [Auszug aus OpenSAMM Core v1.1, durch den Autor auf Deutsch übersetzt]:

0. Impliziter Ausgangspunkt, der die unerfüllten Aktivitäten in der Praxis darstellt
1. Erstes Verständnis und Ad-hoc-Bereitstellung der Sicherheitspraxis
2. Steigerung der Effizienz und/oder Effektivität der Sicherheitspraxis
3. Umfassende Beherrschung der Sicherheitspraxis im grossen Massstab

In drei Schritten zur OpenSAMM Roadmap

Oft hat eine Organisation bereits eine Form der Implementierung einiger der OpenSAMM-Sicherheitspraktiken. Daher beginnt jedes OpenSAMM-Projekt mit einer ersten Bewertung des Status quo der Sicherheitspraktiken eines Softwareprojekts (Bewertung des Reifegrads für jede der 12 Sicherheitspraktiken innerhalb der 4 Geschäftsfunktionen). In einem zweiten Schritt werden die strategische Bedeutung der Software und potenzielle Bedrohungen bewertet. In einem dritten Schritt wird ein Fahrplan für das Softwareprojekt erstellt, der das Projekt in vier Phasen unterteilt und konkrete Ziele für die zu erreichenden Reifegrade für jede der Sicherheitspraktiken in jeder der vier Phasen definiert. Klingt kompliziert? Die Roadmap wird einfach so aussehen:

Da sich Software-Projekte in ihrer Grösse und Bedeutung für das Unternehmen unterscheiden und verschiedenen Bedrohungen unterschiedlichen Schweregrades ausgesetzt sind, werden die Roadmap und die Aktivitäten an das jeweilige Projekt angepasst. Bei einigen Projekten können Sie bestimmte Praktiken ignorieren, während sie für andere Projekte wichtig sind. Bei OpenSAMM geht es auch um Effektivität und Kostenmanagement, um die bestmögliche Nutzung eines begrenzten Budgets und um die richtige Priorisierung von Sicherheitsaspekten zwischen verschiedenen Softwareanwendungen. Das OpenSAMM-Rahmenwerk bietet auch vorgefertigte Roadmap-Vorlagen für verschiedene Arten von Branchen/Anbietern!

OpenSAMM definiert Gesamtziele für jede der Sicherheitspraktiken und Aktivitäten für jede der Reifegradstufen jeder Sicherheitspraktik. Somit kann OpenSAMM zügig und ohne grosse Vorkentnisse Unternehmens- und Projektspezifisch eingesetzt werden.

Der Schlüssel zur Implementierung einer starken Sicherheitspraxis für Ihre Softwareprojekte mit OpenSAMM liegt dabei in der kontinuierlichen Verfolgung und Messung des Status jeder Sicherheitspraxis in jeder Phase anhand der für das Projekt definierten OpenSAMM-Roadmap.

Besuchen Sie die OpenSAMM-Website, wenn Sie mehr über OpenSAMM erfahren möchten: https://www.opensamm.org/