Upload
guide-share-europe-austracee
View
85
Download
5
Embed Size (px)
Citation preview
Seite
© DATEV eG, alle Rechte vorbehalten
IT-Sicherheit als Qualitätsmerkmal in der Softwareentwicklung
Seite
© DATEV eG, alle Rechte vorbehalten
n Vorstellung
n Sicherheit in der Software-Entwicklung – Was ist das?
n Sicherheit als Qualitätsmerkmal – Wie?
GSE Tagung -Hamburg 2015
2
Agenda
Seite
© DATEV eG, alle Rechte vorbehalten
GSE Tagung -Hamburg 2015
3
Das Unternehmen
Nürnberg
DATEV eGHauptsitz: NürnbergGründung: 1966
Berufsständische EDV-Dienstleistungsorganisationin Europa für:
§ Steuerberater§ Rechtsanwälte§ Vereidigte Buchprüfer§ Wirtschaftsprüfer
Seite
© DATEV eG, alle Rechte vorbehalten
GSE Tagung -Hamburg 2015
4
DATEV: Auftrag und Mitglieder
§ Wirtschaftliche Förderung unserer Mitglieder (40.393 in 2014)
§ Das bedeutet: Unterstützung bei allen Dienstleistungen unserer Mitglieder für deren Mandanten
§ Steuerberater§ Rechtsanwälte§ Wirtschaftsprüfer§ Vereidigte Buchprüfer§ Sozietäten und
Partnergesellschaften§ Gesellschaften der
Berufsangehörigen
Unser Auftrag Unsere Mitglieder
Seite
© DATEV eG, alle Rechte vorbehalten
Referent
§ Jörg Spilker
§ Informatikstudium
§ Promotion in der Sprachverarbeitung
§ 5 Jahre Entwicklung von Web-Anwendungen
§ Seit 2011 Leiter IT-Security
§ Verantwortlich für die Umsetzung des Informationssicherheitsmanagements im Unternehmen.
§ Definition von Prozessen und Security Policies sowie Durchführung dazugehöriger technischen und organisatorischen Audits.
GSE Tagung -Hamburg 2015
5
Seite
© DATEV eG, alle Rechte vorbehalten
n Vorstellung
n Sicherheit in der Software-Entwicklung – Was ist das?
n Sicherheit als Qualitätsmerkmal – Wie?
GSE Tagung -Hamburg 2015
6
Agenda
Seite
© DATEV eG, alle Rechte vorbehalten
……
…
Warum IT-Sicherheit?
GSE Tagung -Hamburg 2015
7
KnowHow-Schutz
ImageBDSG
KonTraG
€
…
Seite
© DATEV eG, alle Rechte vorbehalten
Sicherheitsanforderungen
GSE Tagung -Hamburg 2015
8
Ich brauche Verschlüsselung und
Fingerabdruckscanner
Seite
© DATEV eG, alle Rechte vorbehalten
Was bedeutet Sicherheit als Qualitätskriterium?
Sinnvolle Qualitätskriterien?
n Sichere Authentifizierung?n Kann AES Verschlüsselung?n 256 Bit Schlüssel statt 128
n Ist signiert?n Hat in den letzten 12 Monaten keine
öffentliche Schwachstelle?n Bietet regelmäßig Patches?n Sichere Softwareentwicklung
GSE Tagung -Hamburg 2015
9
Funktionale Kriterien
Nichtfunktionale Kriterien
Seite
© DATEV eG, alle Rechte vorbehalten
Heise: Schutzlose Wächter - Antiviren-Software als Sicherheitslücke
Werden die Wächter selber angegriffen, haben sie dem oft wenig entgegenzusetzen. Und Fehler, die einen solchen Angriff ermöglichen, gibt es nach wie vor zu Hauf, bilanziert ein Sicherheitsforscher seine Analyse von 17 Antiviren-Programmen.
Heise-Meldung vom 30.7.2014(http://www.heise.de/security/meldung/Schutzlose-Waechter-Antiviren-Software-als-Sicherheitsluecke-2277782.html)
GSE Tagung -Hamburg 2015
10
Seite
© DATEV eG, alle Rechte vorbehalten
NIST-zertifizierte USB-Sticks mit Hardware-Verschlüsselung geknackt
Kingston, SanDisk und Verbatim vertreiben recht ähnliche, verschlüsselnde USB-Sticks mit AES 256 Bit in Hardware, die höchsten Sicherheitsansprüchen genügen sollen. Das soll insbesondere die FIPS 140-2 Level 2 Zertifizierungdes des US-amerikanischen National Institute of Standards and Technology (NIST) unterstreichen, durch die sich die Sticks für den Einsatz mit sicherheitsbedürftigen Daten von Regierungsbehörden qualifizieren. Wie die Sicherheitsfirma SySS herausgefunden hat, ist es trotzdem recht einfach möglich, auch ohne das eigentlich erforderliche Passwort an die unverschlüsselten Daten zu kommen.
Heise-Meldung vom 4.1.2010(http://www.heise.de/security/meldung/NIST-zertifizierte-USB-Sticks-mit-Hardware-Verschluesselung-geknackt-894962.html) GSE Tagung -
Hamburg 2015
11
Seite
© DATEV eG, alle Rechte vorbehalten
n Vorstellung
n Sicherheit in der Software-Entwicklung – Was ist das?
n Sicherheit als Qualitätsmerkmal – Wie?
GSE Tagung -Hamburg 2015
12
Agenda
Seite
© DATEV eG, alle Rechte vorbehalten
Motivation
GSE Tagung -Hamburg 2015
13
Im Durchschnitt existieren Fehler
Codezeilen
Seite
© DATEV eG, alle Rechte vorbehalten
Qualitätssicherung in der Softwareentwicklung
Variante 1:n Unsere Entwickler kennen sich da aus, das passt schon.
Variante 2: nWir führen am Ende einen Testzyklus durch.
Variante 3:nWir haben ein Qualitätsmanagement: Qualitätssicherung ist
Bestandteil des gesamten Softwareentwicklungsprozesses. GSE Tagung -Hamburg 2015
14
Seite
© DATEV eG, alle Rechte vorbehalten
Fehlerbehebungskosten
GSE Tagung -Hamburg 2015
15
0,1 1 5 10
100
Kostenfaktor1
1Zahlen entnommen aus: Der Weg Zu Besserem Projekterfolg von Manfred Noé
Seite
© DATEV eG, alle Rechte vorbehalten
Sicherheit in der Softwareentwicklung
Variante 1:n Unsere Entwickler kennen sich da aus, das passt schon.
Variante 2: nWir führen am Ende einen Penetrationstest durch.
Variante 3:nWir haben ein Qualitätsmanagement: Sicherheit ist Bestandteil
des gesamten Softwareentwicklungsprozesses. GSE Tagung -Hamburg 2015
16
Seite
© DATEV eG, alle Rechte vorbehalten
Security Quality
17
GSE Tagung -Hamburg 2015
Quality software
Reliablesoftware
Securesoftware
If you care about qualityor reliability, you care about security.
Michael Howard, Writing Secure Code, Microsoft Press, 2003
If you care about qualityor reliability, you care about security.
Michael Howard, Writing Secure Code, Microsoft Press, 2003
Seite
© DATEV eG, alle Rechte vorbehalten
S-SDLCSecure Software Development Lifecycle
Security is not a product,it is a process.
Bruce Schneier, Secrets & Lies, John Wiley & Sons, 2000.
18
GSE Tagung -Hamburg 2015
Seite
© DATEV eG, alle Rechte vorbehalten
ProdukteSicherheitstechnologien, z.B. Firewalls, 2-Factor-Authentication, Vulnerability-Scanner, Fuzzing-Tools, Sourcecodeanalyse-Tools, Sichere Betriebssysteme, Partionierung, Intrusion-Detection-Systems, …
PersonenFührungsebene (CISO, …), „Evangelisten“, Security-Consultants (intern/extern), Security-Tester, Pen-Tester (intern/extern), …
ProzesseSecurity-Policies, Risikomanagement, Secure Software Development Lifecycle ,Security-Guidelines, Coding-Guidelines, Quality-Gates, Trainingspläne, Berechtigungskonzepte, Incidentmanagement, …
3 P
19
GSE Tagung -Hamburg 2015
Seite
© DATEV eG, alle Rechte vorbehalten
Secure Development Process
20
Anforderung Design Um-setzung AuslieferungTest
Plan Build Run
Sicherheitsanforderungen erhebenSchutzbedarfsfeststellung &RisikoanalyseDokumentierte Verantwortlichkeiten
Kontrollierte & dokumentierte FreigabeAbschließende Sicherheits-prüfung
Developer-GuidelinesAutomatische CodeanalyseCodeReviews
Freigabe
Incident-managementRelease- & Patch-management GSE Tagung -
Hamburg 2015
Awareness: Ausbildung, Schulung,Richtlinien
Seite
© DATEV eG, alle Rechte vorbehalten
Übersicht der wichtigsten S-SDLCs
GSE Tagung -Hamburg 2015
21
Veröffentl. -Aktualisiert
Hintergrund Besonderheiten
MS SDL 2004 –2012
Firmenspez. Praxis und Notwendigkeit
Microsoft
• Hoher Bekanntheitsgrad• Threat-Modeling• STRIDE• DREAD
OpenSAMM 2008 –2009
Expertenwissen /Open-Source
OWASP
• ReifegradeAufbauende Level
• Erfahrungswertefür Kosten
• ErfolgsmetrikenBSIMM 2009 -
2013Empirische Studie„Real World Data“
Cigital (Fortify)
• ReifegradeAufbauende Level
• Hoher Bekanntheitsgrad• Detailtiefe• „Ongoing“
Seite
© DATEV eG, alle Rechte vorbehalten
Microsoft SDL (1)
Microsoft SDL – aus Simplified Implementation 2010 auf DEUTSCHn 5+2 Phasenn 15 verpflichtende Sicherheitsmaßnahmen + 3 optionalen Rückkopplung (Fehlerursachenanalyse)n Pflicht zur regelmäßigen Durchführung von „Prozessupdates“
22
Seite
© DATEV eG, alle Rechte vorbehalten
OpenSAMM (1)
n Es gibt 4 Funktionsbereichen mit je 3 Praktikenn unterteilt in 3 aufbauende Level
23
Seite
© DATEV eG, alle Rechte vorbehalten
Eine Beispiel-Praktik aus dem Funktionsbereich„Construction“
24
Seite
© DATEV eG, alle Rechte vorbehalten
BSIMM - Aufbau
25
Seite
© DATEV eG, alle Rechte vorbehalten
Zusammenfassung
n Sichtbare und „unsichtbare“ Qualitätsmerkmale
n „Unsichtbare“ Merkmale nur indirekt durch Kunden prüfbar (=>Vertrauen)
n Sicherheit ist keine Eigenschaft sondern ein Prozess
n Sicherheit als grundlegendes Element ein Software-Entwicklungsprozesses (SDL) GSE Tagung -
Hamburg 2015
26
Seite
© DATEV eG, alle Rechte vorbehalten
GSE Tagung -Hamburg 2015
27
Seite
© DATEV eG, alle Rechte vorbehalten
1. Zählen aller Fehler, die vor einer Softwarefreigabe durch Qualitätsmaßnahmen gefunden wurden (= ).
2. Nach typischerweise 90 Tagen Einsatz des Releases beim Kunden werden die Fehler, die beim Kundeneinsatz auftraten gezählt (= ).
3. Die Effizienz berechnet sich wie folgt:
= +n Durchschnitt des DRE-Wertes in der SW-Branche liegt bei 85%.n Gute Hersteller erreichen 95%.
28
Defect Removal Efficiency (DRE)
Seite
© DATEV eG, alle Rechte vorbehalten
Security-Variante1. Zählen aller Schwachstellen, die vor einer Abschlusspenetration durch Security-
Maßnahmen gefunden wurden (= ).n Design-Review (= )n Sourcecode-Analyse (= )n Security-Testing (= )
2. Zählen der Fehler, die in der Abschlusspenetrationgefunden wurden (= ).
Voraussetzung ist korrektes Fehlertracking in allen Phasenüber zentrales Bug-Tracking
29
DRE für Security-Maßnahmen