Was bedeutet Security by Design für die Entwicklung?

Security by Design prägt den Alltag durch spezifische Schulungen, Entwicklungsmethodik, Testmethodik und Dokumentation und ist der Leitstern beim Support- und Releasemanagement. Security by Design löst konkrete Massnahmen aus, die sich an den Vorgaben von ISDS und der Top Ten Liste von OWASP orientieren (siehe Kasten). Security by Design fördert eine auf Sicherheit sensibilisierte Haltung über den ganzen Produktionsprozess hinweg

Gina-Workshop Technik

Jeweils im April werden mit den Gina-Verantwortlichen die technischen Neuigkeiten und der aktuelle Stand der Massnahmen rund um die Sicherheit präsentiert und diskutiert. Im Sinne eines Werkstattberichts, lässt sich der Entwicklungsleiter Florian Cerny über die Schulter schauen und gibt Einblick in die verschiedenen Aspekte von Sicherheit in der Entwicklung. Dieses Jahr war das Fokusthema der Umgang mit Komplexität, in welche Bestandteile die Komplexität aufgebrochen wird und welche Abstraktionsebenen verwendet werden, um die Komplexität zu beherrschen mit dem Ziel, die Releasefähigkeit des Produktes Gina zu gewährleisten. Fokusthemen der letzten Jahre waren Testing (2020), eingesetzte Entwicklungswerkzeuge (2021) und das Sicherheitskonzept mit seinen Handlungsfeldern (2022). Der offene Austausch stärkt das gegenseitige Vertrauen und hilft, die Aufmerksamkeit für Sicherheitsthemen zu schärfen, beim Kunde und bei der Lieferantin.

Die Kosten im Griff halten

Mit Security by Design werden Sicherheitsanforderungen schon während der Entwicklungsphase eines Produktes berücksichtigt, um spätere Sicherheitslücken zu verhindern. Da dies nie ganz gelingen kann, sind Mechanismen zur raschen Beseitigung von Sicherheitslücken weiterhin wichtig. Dank Security by Design kann jedoch die Menge der im Feld auftretenden Sicherheitslücken tief gehalten werden. Sicherheit kostet immer, doch mit den Grundsätzen von Security by Design sind Massnahmen planbarer, was die Nerven und den Geldbeutel schont.

AGB der SIK 2020

Sicherheit von Applikationen ist kein Wunschkonzert, sondern eine vertragliche Verpflichtung gemäss den allgemeinen Geschäftsbedingungen der Schweizerischen Informatikkonferenz, kurz der AGB SIK 2020. Hervorzuheben ist Punkt 13.7 «Die Leistungserbringerin ist verpflichtet, diejenigen technischen und organisatorischen Massnahmen zur Gewährleistung des Datenschutzes und der Informationssicherheit zu treffen, …» sowie Punkt 13.9, der die Leistungserbringerin verpflichtet, die Leistungsbezügerin bei der Überprüfung der Applikation und der vorgenommenen Massnahmen zu unterstützen. 

ISDS

ISDS steht für «Informationssicherheit und Datenschutz» und beschreiben die Vorgaben zum Sicherheitsverfahren und zu den dazugehörenden Hilfsmitteln. Auf Stufe Bund erlässt der Delegierte des Bundes für Cybersicherheit die Vorgaben, auf kantonaler Ebene die entsprechenden Stellen. ISDS-Konzept und ISDS-Massnahmen sind zwei Ergebnisse im Projektmanagement nach HERMES. Das ISDS-Konzept gilt als Hauptdokument der Informationssicherheit und des Datenschutzes im Projekt und während des Betriebes.

OWASP®

Das Open Web Application Security Project ® (OWASP) ist eine gemeinnützige Stiftung. Sie setzt sich für die Verbesserung der Sicherheit von Software ein (owasp.org). Eines der Resultate der Stiftung ist die OWASP Top 10, welche die 10 wichtigsten Sicherheitsrisiken für Webanwendungen auflistet und auch beschreibt, wie man das Risiko reduziert. Die OWASP Top 10 hat sich zum Standarddokument für Entwickler von Webapplikationen der ganzen Welt etabliert. Die GLAUX GROUP engagiert sich finanziell für die Stiftung.