AppSecure.nrw – Forschungsprojekt erfolgreich abgeschlossen

Durch die fortschreitende Digitalisierung und zusätzlich befeuert durch die seit Mai 2018 gültige Datenschutzgrundverordnung (DSGVO) gewinnt das Thema IT-Sicherheit auch in deutschen Unternehmen immer mehr an Bedeutung. Im Rahmen eines vom Land NRW geförderten Forschungsprojekts mit dem Titel AppSecure.nrw entstand bereits 2019 eine umfangreiche Studie zu diesem Themenkomplex. Auf Basis dieser Studie hat adesso mobile gemeinsam mit den anderen Projektpartnern der AXA Konzern AG, der Connext Communication GmbH und dem Fraunhofer IEM drei Ziele für ihre anschließende Arbeit abgeleitet:

  • Sensibilisierung für das Thema Security in der Softwareentwicklung und Weiterentwicklung von Methoden und Werkzeugen
  • Evaluation dieser Methoden und Werkzeuge in der Praxis
  • Entwurf von passenden Schulungen und Weiterbildungen – besonders für Softwareentwickler:innen, Product Owner und Führungskräfte

Die sichere Softwareentwicklung noch stärker in den Fokus rücken

AppSecure.nrw; Team-Workshop

Im Rahmen des Forschungsprojekts AppSecure.nrw wurden neben den Entwickler:innen auch Product Owner und Führungskräfte berücksichtigt, um einen 360-Grad-Blick auf den Themenkomplex der sicheren Softwareentwicklung zu haben. Product Owner sind aus fachlicher Sicht für die Steuerung der Produktentwicklung zuständig und fungieren als zentrale Ansprechpartner:innen für die Entwickler:innen. Das umfasst entsprechend auch die Sicherstellung und Betreuung der Security-Anforderungen eines Projekts. Um den Ausbau von Security-Kompetenzen bei Mitarbeiter:innen zu fördern und die hohe Bedeutung

von IT-Sicherheit in Softwareprojekten zu erkennen, sollen auch Führungskräfte in den Prozess eingebunden werden. Sie sollen vor allem mithilfe von Schulungen für das Thema sensibilisiert werden.

Auf Grundlage der Studie entschloss sich das Projektteam, die sichere Softwareentwicklung in zehn Themengebiete zu unterteilen. Vor allem die Rückkopplung seitens der Softwareentwickler:innen ergab, dass einige von ihnen viele der definierten Themengebiete nicht kannten und der Großteil keine praktischen Erfahrungen vorweisen konnte. Dies führte zu der Schlussfolgerung, dass alle Themengebiete der sicheren Softwareentwicklung geschult werden müssen. Das daraufhin entwickelte Schulungskonzept hat das Ziel, die teilnehmenden Softwareentwickler:innen in den angebotenen Trainings zu sogenannten Security Champions auszubilden. Durch die zielgerichtete Vertiefung des Security-Themas erlangen sie eine zusätzliche Kompetenz und können so als Multiplikator für Sicherheitsaspekte in den Projekten agieren. Um den Kenntnisstand von Softwareentwicklungsteams in der sicheren Softwareentwicklung zu bestimmen, hat das Projektteam nach der Bewertung existierender Reifegradmodelle ein Reifegradmodell mit dem Namen „Security Belts“ entwickelt.

Das Thema Sicherheit wurde im bisherigen Entwicklungsprozess mobiler Applikationen und Anwendungen erst sehr spät betrachtet. Um jedoch bereits in frühen Phasen der Entwicklung auf Sicherheitslücken zu stoßen und diese zeitnah zu beheben, wurden spezielle Methoden erarbeitet und Werkzeuge entwickelt.

Nach Beendigung des Forschungsprojekts AppSecure.nrw zieht adesso mobile Bilanz: Das Thema Security ist kein reines Tool-Thema, es ist eine Team-Leistung und obliegt nicht ausschließlich den Softwareentwickler:innen oder den direkt am Entwicklungsprozess beteiligten Teammitglieder. Auch wenn das Thema Security insgesamt an Bedeutung gewinnt, ist an vielen Stellen weiterhin Grundlagenarbeit notwendig und das Thema muss aktiv in Unternehmen unterstützt und eingefordert werden. Dem theoretisch eingeforderten Bedürfnis nach sicheren mobilen Applikationen und Webseiten muss zwingend auch die praktische Umsetzung folgen. „Security muss kontinuierlich betrachtet werden – die Welt um uns herum ändert sich auch ständig“, betont Marc Rolle, der als Managing Consultant bei adesso mobile tätig ist und Teil des Projektteams war.

adesso mobile selbst geht mit gutem Beispiel voran und hat das Konzept der sicheren Softwareentwicklung eingeführt – mittlerweile gibt es bereits die ersten Security Champions in den eigenen Reihen. „Ein mittelfristiges Ziel von uns bei adesso mobile ist die fest verankerte und umfangreiche Beratung und Unterstützung bei der Einführung sicherer Softwareentwicklung von mobilen Applikationen bei unseren Kund:innen“, berichtet Marc Rolle.

Das Reifegradmodell als entscheidender Gradmesser

Bis zum jetzigen Zeitpunkt konnten auf Basis von Anforderungen bereits drei von sechs ausgearbeiteten Schulungen durchgeführt werden: Security Champion Training (SCT), Hackathon BiFiRi (Build it, break it, fix it) und die Security-Schulung für Product Owner. Die anderen drei Schulungen – Security-Schulung für Manager, Security Basics Training für Entwickler und das Security Training „Kryptografie sicher nutzen“ – wurden im Jahr 2021 zwar vollständig vorbereitet, jedoch bisher nicht in der Praxis getestet. Dies wird 2022 vom Fraunhofer IEM eigenständig gestartet.

Mithilfe des Reifegradmodells „Security Belts“ wird das Know-how der Projektteams abgebildet.

Ähnlich wie in der Kampfsportart Judo werden auch in dem erarbeiteten Reifegradmodell Gürtel verwendet. Mit jeder Gürtelfarbe steigt das Wissen und die Kompetenz. Zu Beginn einer Produktentwicklung kann anhand des Reifegradmodells ermittelt werden, ob notwendige Kompetenzen für die sichere Produkteentwicklung vorhanden sind oder an welcher Stelle die Ausbildung ansetzen sollte. Bereits 2020 hat das Projektteam mit der Definition der Gürtelfarben weiß, gelb und orange begonnen. Die restlichen Gürtelfarben und die damit verbundenen Anforderungen werden nach und nach erarbeitet. Ein aktueller Überblick zum Stand findet sich auf Github: https://github.com/AppSecure-nrw/security-belts.

App.Secure Forschungsprojekt; Security Belts

Um das Reifegradmodell weiterzuentwickeln, unterzogen adesso mobile und die AXA Konzern AG die „Security Belts“ 2020 und 2021 in mehreren Teams einem ausführlichen Praxistest. Währenddessen wertete das Fraunhofer IEM gemeinsam mit der AXA Konzern AG mehrere Fragebögen aus und führte diverse Interviews sowie Workshops durch, um die daraus gewonnenen Erkenntnisse in die Weiterentwicklung einfließen zu lassen. Eine Erkenntnis aus der Umfrage mit den Security Champions lautete: „Gürtel dürfen nicht zu groß sein, um ein Gefühl des Fortschritts zu haben.“

Obwohl zum Ende des Forschungsprojektes AppSecure.nrw das Reifegradmodell nicht vollständig fertiggestellt wurde, konnte mithilfe von adesso mobile und der AXA Konzern AG das Konzept der „Security Belts“ weiterentwickelt und evaluiert werden. Die Gürtel weiß, gelb und orange wurden mehrfach überarbeitet und die beiden Gürtel grün und blau sind aufgestellt und neu ausgestaltet. Die Gürtel lila bis schwarz sind bereits in der internen Verprobung und werden zeitnah fertiggestellt. Der Fokus lag zunächst auf der Verbesserung der bereits verfügbaren Gürtel.

Fazit zu AppSecure.nrw

Da die adesso mobile solutions GmbH Teil der Studie und des Forschungsprojekts AppSecure.nrw sein durfte, konnten die Security Champion-Ausbildung und die Einführung des Reifegradmodells Security Belts bei den Kolleg:innen verprobt werden.

Für Marc Rolle fällt das Fazit für das Projekt in den letzten drei Jahren ebenfalls positiv aus: „Das Projekt schlug nicht den ursprünglich geplanten Weg ein, aber wir haben aufgrund der gewonnenen Erkenntnisse und vorhandenen Bedürfnisse passende Konzepte entwickelt, um in komplexen Projekten sichere Softwareentwicklung zu etablieren. Auch ich konnte mehr Wissen in dem Thema erlangen und freue mich auf zukünftige Projekte, in denen wir unsere Kund:innen dabei unterstützen, ihre mobilen Anwendungen sicher zu entwickeln.“

×
Telefon

Sie sind auf der Suche nach einem Experten im Bereich App-Entwicklung? Wir freuen uns auf Ihre Nachricht!

+49 231 99953850
×