Startseite > Security > Dem Wissensvorsprung der Angreifer durch intensive Schulung entgegenwirken

Security Corner: Zertifizierung zum Certified Secure Software Lifecycle Professional (CSSLP)

Dem Wissensvorsprung der Angreifer durch intensive Schulung entgegenwirken

19. Mai 2009, 22:58 Uhr |

Je später eine Softwareschwachstelle identifiziert wird, umso höher sind die Kosten für deren Beseitigung. "Der Schlüssel zum Erfolg ist daher ein Softwareentwicklungsprozess, der Sicherheitsaspekte kontinuierlich über den gesamten Softwarelebenszyklus berücksichtigt und Schwachstellen so früh wie möglich identifiziert, um geeignete Gegenmaßnahmen einleiten zu können", begründet Markus Wutzke, Senior Consultant für IT-Sicherheit bei Secaron, warum er sich bei (ISC)² zum Certified Secure Software Lifecycle Professional (CSSLP) zertifizieren lässt.

CZ: Warum spielt sichere Softwareentwicklung eine so wichtige Rolle?

Wutzke: Durch die immer stärkere Verzahnung und Abhängigkeit von Geschäftsprozessen und der IT
spielt die Sicherheit dieser Systeme eine immer größere Rolle. Dies umfasst sowohl die
Zuverlässigkeit dieser Systeme als auch den Schutz der dort verarbeiteten Daten. Insbesondere, wenn
es sich um Geschäftsgeheimnisse oder sensible personenbezogene Daten handelt. Durch eine sichere
Softwareentwicklung – im Sinne einer kontinuierlichen Berücksichtigung des Qualitätsmerkmals
Sicherheit – können Schwachstellen und damit verbundene Risiken frühzeitig erkannt und durch
angemessene Maßnahmen kosteneffizient behandelt werden.

CZ: Keine leichte Aufgabe, wie die Praxis zeigt.

Wutzke: Das liegt auch daran, dass das Wissen von Schwachstellen und zugehöriger
Angriffsmethoden zur Ausnutzung dieser in den letzten Jahren stark zugenommen hat. Dies zeigt sich
an den exponenziell angestiegenen Zahlen veröffentlichter Schwachstellen bzw. öffentlich bekannt
gewordener Sicherheitsvorfällen und der zunehmenden Verbreitung von Malware. Es ist also an der
Zeit dem Wissensvorsprung der Angreifer durch intensive Schulung der am Softwarelebenszyklus
beteiligten Personen entgegenzuwirken.

CZ: Daher haben Sie sich also für das CSSLP-Zertifikat von (ISC)2 entschieden?

Wutzke: Als Senior Consultant für IT-Sicherheit bei Secaron betreue ich den Themenbereich
Sichere Software- beziehungsweise Systementwicklung. In diesem Zusammenhang berate ich unsere
Kunden beim Aufbau und bei der Durchführung von sicheren Entwicklungsprozessen. Dabei unterstütze
ich auch im Rahmen von Entwicklungsprojekten aktiv bei der Durchführung von Schutzbedarfs- und
Risikoanalysen, Design-Reviews und Penetrationstests. Der Erwerb des Zertifikats einer
international anerkannten Organisation ist für mich ein mögliches Mittel, neben der Darstellung
meiner Projektreferenzen, meine Kompetenz in diesem Themenbereich nachzuweisen.

CZ: Warum gibt es aus Ihrer Sicht Bedarf für den CSSLP?

Wutzke: Studien bestätigen, dass die kontinuierliche Berücksichtigung von Sicherheitsaspekten im
Rahmen eines Softwareentwicklungsprozesses langfristig günstiger ist, als das nachträgliche
Hinzufügen. Je später eine Schwachstelle identifiziert wird, umso höher sind in der Regel die
Kosten für die Beseitigung der Schwachstelle. Insbesondere dann, wenn das Design der Anwendung
komplett überarbeitet werden muss, um zum Beispiel eine durchgängige Berechtigungsprüfung
sicherzustellen, besteht die Gefahr, dass das Projektbudget überzogen wird. Der Schlüssel zum
Erfolg ist also ein Softwareentwicklungsprozess, der Sicherheitsaspekte kontinuierlich über den
gesamten Softwarelebenszyklus berücksichtigt und Schwachstellen so früh wie möglich identifiziert,
um geeignete Gegenmaßnahmen einleiten zu können. Dieser Ansatz ist das zentrale Element der
CSSLP-Schulung.

CZ: Was ist das Besondere am CSSLP?

Wutzke: Das besondere am CSSLP-Zertifikat ist, dass es nicht auf eine bestimmte
Programmiersprache oder einen einzigen Verantwortungsbereich beschränkt ist. Dadurch kann bei
allen, die am Softwarelebenszyklus beteiligt sind, eine solide Wissensgrundlage geschaffen werden,
die für die Entwicklung sicherer Software notwendig ist. Die Zertifizierung ist so konzipiert, dass
Teilnehmern abschließend die Fähigkeit attestiert werden kann, Sicherheitsanforderungen im Bereich
Softwareentwicklung von Anfang an identifizieren und anschließend durch geeignete Maßnahmen
umsetzen zu können. Hauptziel ist dabei die Vermeidung typischer Schwachstellen.

CZ: Welche Themen werden im Rahmen des CSSLP-Zertifikats genau behandelt?

Wutzke: Das Zertifizierungsprogramm unterteilt sich in sieben Themenbereiche, sogenannte
Domains. Der erste Themenbereich beschäftigt sich mit grundlegenden Software-Sicherheitskonzepten
und dem sicheren Entwicklungsprozess an sich. Die restlichen sechs Themenbereiche orientieren sich
an den typischen Phasen des Softwarelebenszyklus: Requirements Analysis, Design,
Implementation/Coding, Testing/Acceptance und Deployment/Operations/Maintenance/Disposal. Dabei
werden zunächst grundlegende Sicherheitsanforderungen und Methoden zur Identifizierung und
Beschreibung dieser vermittelt. Anschließend werden Software-Design Elemente (Security Patterns)
und Best Practice Ansätze zur Erfüllung dieser Anforderungen dargestellt und das notwendige
Know-how zur Entwicklung sicherer Codes und Vermeidung typischer Programmierfehler vermittelt. Im
Bereich des Testings/Acceptance werden Methoden aufgezeigt, wie die Sicherheitsfunktionalität und
deren Widerstandsfähigkeit gegen Angriffe sowohl auf Modul-Ebene, als auch für die gesamte
Software, adäquat überprüft werden kann. Abschließend werden Sicherheitsthemen der Betriebsumgebung
und der Wartung diskutiert.

Rainer Mauth/CZ