Sie befin­den sich hier:

Secu­ri­ty Archi­tec­tu­re
und Design

Secu­ri­ty Deve­lo­p­ment Life­cy­cle
Sicher­heits­be­ra­tung und ‑trai­ning
Con­ti­nous Test­ing und SecDe­vOps
Bedro­hungs- und Risi­ko­ana­ly­se

Sicher­heit in der Soft­ware­ent­wick­lung

Cyber­se­cu­ri­ty in der Soft­ware­ent­wick­lung (Secu­ri­ty Deve­lo­p­ment Life­cy­cle) umfasst die Berück­sich­ti­gung von Sicher­heits­aspek­ten bei der Pla­nung von Anwen­dungs­sys­te­men. Unse­re IT-Exper­ten unter­stüt­zen dabei auf kon­zep­tio­nel­ler Ebe­ne bei fol­gen­den Schwer­punk­ten der Soft­ware­ent­wick­lung:

  • Erstel­lung bzw. Bewer­tung von Anfor­de­run­gen an ein Soft­ware­sys­tem (Requi­re­ments Engi­nee­ring)
  • Ana­ly­se und Bewer­tung von Risi­ken für das Soft­ware­sys­tem (Thre­at Mode­ling)
  • Bewer­tung von (bestehen­den) Soft­ware-Lösun­gen und ‑Archi­tek­tu­ren
  • Inte­gra­ti­on von IT-Sicher­heit in den Soft­ware-Ent­wick­lungs­zy­klus (SDLC)
  • Inte­gra­ti­on von IT-Sicher­heit in Con­ti­ni­ous Inte­gra­ti­on (CI)/ Con­ti­ni­ous Deli­very (CD)

Sicher­heits­be­ra­tung und ‑schu­lung

Ziel unser Exper­ten im Bereich der Sicher­heits­be­ra­tung und ‑schu­lung ist die Ver­mitt­lung von Inhal­ten zum Auf­bau von Kom­pe­ten­zen im Bereich der IT-Sicher­heit:

  • Die Sicher­heits­be­ra­tung fokus­siert dabei auf kon­kre­te Bedro­hun­gen und die Bewer­tung aktu­ell imple­men­tier­ter Maß­nah­men sowie ggf. deren Wei­ter­ent­wick­lung. Die Bera­tungs­tä­tig­keit bleibt in der Regel auf einer kon­zep­tio­nel­len Ebe­ne und bie­tet eine Grund­la­ge als Ent­schei­dungs­hil­fe für Füh­rungs­kräf­te, Manage­ment und Soft­ware­ar­chi­tek­ten.
  • Der Bereich Sicher­heits­trai­nings ver­folgt einen tech­ni­schen Ansatz durch die Ver­mitt­lung aus­ge­wähl­ter Trai­nings­in­hal­te, um mit dem erwor­be­nen Wis­sen und den erlern­ten Fähig­kei­ten Auf­ga­ben und Her­aus­for­de­run­gen im All­tag sicher lösen zu kön­nen (z.B. siche­res Pro­gram­mie­ren). Die Schu­lun­gen rich­ten sich in ers­ter Linie an Entwickler(-teams), Admi­nis­tra­to­ren und tech­ni­sches Per­so­nal mit Bezug zur IT-Sicher­heit.

Con­ti­nuous Test­ing / SecDe­vOps

Unser Ansatz bei Con­ti­nuous Test­ing und SecDe­vOps kon­zen­triert sich auf die Bereit­stel­lung eines naht­lo­sen, auto­ma­ti­sier­ten Pro­zes­ses, der es ermög­licht, Sicher­heits- und Qua­li­täts­kon­trol­len effi­zi­ent in den Soft­ware­ent­wick­lungs­zy­klus zu inte­grie­ren. Wir bie­ten Exper­ti­se in der Ein­rich­tung und Opti­mie­rung von CI/CD-Pipe­lines, der Aus­wahl und Imple­men­tie­rung geeig­ne­ter Sicher­heits­tools und der Schu­lung von Teams, um Sicher­heits­be­wusst­sein zu schaf­fen und zu erhal­ten.

Inhalt­lich unter­stüt­zen und imple­men­tie­ren unse­re Exper­ten in den fol­gen­den Schwer­punk­ten:

  • Auto­ma­ti­sie­rung von Sicher­heits­tests
  • Inte­gra­ti­on in CI/CD
  • Sta­ti­sche und dyna­mi­sche Code­ana­ly­se
  • Schu­lung und Sen­si­bi­li­sie­rung

Bedro­hungs- und Risi­ko­ana­ly­se

Unse­re Bedro­hungs- und Risi­ko­ana­ly­sen bie­ten Unter­neh­men eine fun­dier­te Grund­la­ge zur Stär­kung ihrer Sicher­hei­t­richt­li­ni­en. Wir ver­wen­den bewähr­te Metho­den und Tools, um tief­grei­fen­de Ana­ly­sen durch­zu­füh­ren, die es unse­ren Kun­den ermög­li­chen, ihre Sicher­heits­stra­te­gien effek­tiv zu pla­nen und umzu­set­zen. Unse­re Exper­ten unter­stüt­zen bei der gesam­ten Pro­zess­ket­te von der Iden­ti­fi­zie­rung bis zur Risi­ko­min­de­rung.

Inhalt­lich unter­stüt­zen und imple­men­tie­ren unse­re Exper­ten in den fol­gen­den Schwer­punk­ten:

  • Bedro­hungs- und Risi­ko­ana­ly­se
  • Thre­at Intel­li­gence
  • Schwach­stel­len­ana­ly­se
  • Risi­ko­ma­trix
  • Sicher­heits­richt­li­ni­en und ‑stan­dards
  • Pro­ak­ti­ve Sicher­heits­maß­nah­men

Quel­len

[1] The OWASP® Foun­da­ti­on, OWASP Appli­ca­ti­on Secu­ri­ty Veri­fi­ca­ti­on Stan­dard, https://owasp.org/www-project-application-security-verification-standard/

[2] The OWASP® Foun­da­ti­on, Thre­at Mode­ling Pro­cess, https://owasp.org/www-community/Threat_Modeling_Process

[3] Micro­soft, Secu­ri­ty Deve­lo­p­ment Life­cy­cle, https://www.microsoft.com/en-us/securityengineering/sdl