M4, dr. jörg spilker, datev e g

Seite

© DATEV eG, alle Rechte vorbehalten

IT-Sicherheit als Qualitätsmerkmal in der Softwareentwicklung

Seite


n Vorstellung

n Sicherheit in der Software-Entwicklung – Was ist das?

n Sicherheit als Qualitätsmerkmal – Wie?

GSE Tagung -Hamburg 2015

2

Agenda

Seite



3

Das Unternehmen

Nürnberg

DATEV eGHauptsitz: NürnbergGründung: 1966

Berufsständische EDV-Dienstleistungsorganisationin Europa für:

§ Steuerberater§ Rechtsanwälte§ Vereidigte Buchprüfer§ Wirtschaftsprüfer

Seite



4

DATEV: Auftrag und Mitglieder

§ Wirtschaftliche Förderung unserer Mitglieder (40.393 in 2014)

§ Das bedeutet: Unterstützung bei allen Dienstleistungen unserer Mitglieder für deren Mandanten

§ Steuerberater§ Rechtsanwälte§ Wirtschaftsprüfer§ Vereidigte Buchprüfer§ Sozietäten und

Partnergesellschaften§ Gesellschaften der

Berufsangehörigen

Unser Auftrag Unsere Mitglieder

Seite


Referent

§ Jörg Spilker

§ Informatikstudium

§ Promotion in der Sprachverarbeitung

§ 5 Jahre Entwicklung von Web-Anwendungen

§ Seit 2011 Leiter IT-Security

§ Verantwortlich für die Umsetzung des Informationssicherheitsmanagements im Unternehmen.

§ Definition von Prozessen und Security Policies sowie Durchführung dazugehöriger technischen und organisatorischen Audits.


5

Seite


n Vorstellung




6

Agenda

Seite


……

…

Warum IT-Sicherheit?


7

KnowHow-Schutz

ImageBDSG

KonTraG

€

…

Seite


Sicherheitsanforderungen


8

Ich brauche Verschlüsselung und

Fingerabdruckscanner

Seite


Was bedeutet Sicherheit als Qualitätskriterium?

Sinnvolle Qualitätskriterien?

n Sichere Authentifizierung?n Kann AES Verschlüsselung?n 256 Bit Schlüssel statt 128

n Ist signiert?n Hat in den letzten 12 Monaten keine

öffentliche Schwachstelle?n Bietet regelmäßig Patches?n Sichere Softwareentwicklung


9

Funktionale Kriterien

Nichtfunktionale Kriterien

Seite


Heise: Schutzlose Wächter - Antiviren-Software als Sicherheitslücke

Werden die Wächter selber angegriffen, haben sie dem oft wenig entgegenzusetzen. Und Fehler, die einen solchen Angriff ermöglichen, gibt es nach wie vor zu Hauf, bilanziert ein Sicherheitsforscher seine Analyse von 17 Antiviren-Programmen.

Heise-Meldung vom 30.7.2014(http://www.heise.de/security/meldung/Schutzlose-Waechter-Antiviren-Software-als-Sicherheitsluecke-2277782.html)


10

http://www.heise.de/security/meldung/Schutzlose-Waechter-Antiviren-Software-als-Sicherheitsluecke-2277782.html

Seite


NIST-zertifizierte USB-Sticks mit Hardware-Verschlüsselung geknackt

Kingston, SanDisk und Verbatim vertreiben recht ähnliche, verschlüsselnde USB-Sticks mit AES 256 Bit in Hardware, die höchsten Sicherheitsansprüchen genügen sollen. Das soll insbesondere die FIPS 140-2 Level 2 Zertifizierungdes des US-amerikanischen National Institute of Standards and Technology (NIST) unterstreichen, durch die sich die Sticks für den Einsatz mit sicherheitsbedürftigen Daten von Regierungsbehörden qualifizieren. Wie die Sicherheitsfirma SySS herausgefunden hat, ist es trotzdem recht einfach möglich, auch ohne das eigentlich erforderliche Passwort an die unverschlüsselten Daten zu kommen.

Heise-Meldung vom 4.1.2010(http://www.heise.de/security/meldung/NIST-zertifizierte-USB-Sticks-mit-Hardware-Verschluesselung-geknackt-894962.html) GSE Tagung -

Hamburg 2015

11

http://www.heise.de/security/meldung/NIST-zertifizierte-USB-Sticks-mit-Hardware-Verschluesselung-geknackt-894962.html

Seite


n Vorstellung




12

Agenda

Seite


Motivation


13

Im Durchschnitt existieren Fehler

Codezeilen

Seite


Qualitätssicherung in der Softwareentwicklung

Variante 1:n Unsere Entwickler kennen sich da aus, das passt schon.

Variante 2: nWir führen am Ende einen Testzyklus durch.

Variante 3:nWir haben ein Qualitätsmanagement: Qualitätssicherung ist

Bestandteil des gesamten Softwareentwicklungsprozesses. GSE Tagung -Hamburg 2015

14

Seite


Fehlerbehebungskosten


15

0,1 1 5 10

100

Kostenfaktor1

1Zahlen entnommen aus: Der Weg Zu Besserem Projekterfolg von Manfred Noé

Seite


Sicherheit in der Softwareentwicklung

Variante 1:n Unsere Entwickler kennen sich da aus, das passt schon.

Variante 2: nWir führen am Ende einen Penetrationstest durch.

Variante 3:nWir haben ein Qualitätsmanagement: Sicherheit ist Bestandteil

des gesamten Softwareentwicklungsprozesses. GSE Tagung -Hamburg 2015

16

Seite


Security Quality

17


Quality software

Reliablesoftware

Securesoftware

If you care about qualityor reliability, you care about security.

Michael Howard, Writing Secure Code, Microsoft Press, 2003

If you care about qualityor reliability, you care about security.

Michael Howard, Writing Secure Code, Microsoft Press, 2003

Seite


S-SDLCSecure Software Development Lifecycle

Security is not a product,it is a process.

Bruce Schneier, Secrets & Lies, John Wiley & Sons, 2000.

18


Seite


ProdukteSicherheitstechnologien, z.B. Firewalls, 2-Factor-Authentication, Vulnerability-Scanner, Fuzzing-Tools, Sourcecodeanalyse-Tools, Sichere Betriebssysteme, Partionierung, Intrusion-Detection-Systems, …

PersonenFührungsebene (CISO, …), „Evangelisten“, Security-Consultants (intern/extern), Security-Tester, Pen-Tester (intern/extern), …

ProzesseSecurity-Policies, Risikomanagement, Secure Software Development Lifecycle ,Security-Guidelines, Coding-Guidelines, Quality-Gates, Trainingspläne, Berechtigungskonzepte, Incidentmanagement, …

3 P

19


Seite


Secure Development Process

20

Anforderung Design Um-setzung AuslieferungTest

Plan Build Run

Sicherheitsanforderungen erhebenSchutzbedarfsfeststellung &RisikoanalyseDokumentierte Verantwortlichkeiten

Kontrollierte & dokumentierte FreigabeAbschließende Sicherheits-prüfung

Developer-GuidelinesAutomatische CodeanalyseCodeReviews

Freigabe

Incident-managementRelease- & Patch-management GSE Tagung -

Hamburg 2015

Awareness: Ausbildung, Schulung,Richtlinien

Seite


Übersicht der wichtigsten S-SDLCs


21

Veröffentl. -Aktualisiert

Hintergrund Besonderheiten

MS SDL 2004 –2012

Firmenspez. Praxis und Notwendigkeit

Microsoft

• Hoher Bekanntheitsgrad• Threat-Modeling• STRIDE• DREAD

OpenSAMM 2008 –2009

Expertenwissen /Open-Source

OWASP

• ReifegradeAufbauende Level

• Erfahrungswertefür Kosten

• ErfolgsmetrikenBSIMM 2009 -

2013Empirische Studie„Real World Data“

Cigital (Fortify)

• ReifegradeAufbauende Level

• Hoher Bekanntheitsgrad• Detailtiefe• „Ongoing“

Seite


Microsoft SDL (1)

Microsoft SDL – aus Simplified Implementation 2010 auf DEUTSCHn 5+2 Phasenn 15 verpflichtende Sicherheitsmaßnahmen + 3 optionalen Rückkopplung (Fehlerursachenanalyse)n Pflicht zur regelmäßigen Durchführung von „Prozessupdates“

22

Seite


OpenSAMM (1)

n Es gibt 4 Funktionsbereichen mit je 3 Praktikenn unterteilt in 3 aufbauende Level

23

Seite


Eine Beispiel-Praktik aus dem Funktionsbereich„Construction“

24

Seite


BSIMM - Aufbau

25

Seite


Zusammenfassung

n Sichtbare und „unsichtbare“ Qualitätsmerkmale

n „Unsichtbare“ Merkmale nur indirekt durch Kunden prüfbar (=>Vertrauen)

n Sicherheit ist keine Eigenschaft sondern ein Prozess

n Sicherheit als grundlegendes Element ein Software-Entwicklungsprozesses (SDL) GSE Tagung -

Hamburg 2015

26

Seite



27

Seite


1. Zählen aller Fehler, die vor einer Softwarefreigabe durch Qualitätsmaßnahmen gefunden wurden (= ).

2. Nach typischerweise 90 Tagen Einsatz des Releases beim Kunden werden die Fehler, die beim Kundeneinsatz auftraten gezählt (= ).

3. Die Effizienz berechnet sich wie folgt:

= +n Durchschnitt des DRE-Wertes in der SW-Branche liegt bei 85%.n Gute Hersteller erreichen 95%.

28

Defect Removal Efficiency (DRE)

Seite


Security-Variante1. Zählen aller Schwachstellen, die vor einer Abschlusspenetration durch Security-

Maßnahmen gefunden wurden (= ).n Design-Review (= )n Sourcecode-Analyse (= )n Security-Testing (= )

2. Zählen der Fehler, die in der Abschlusspenetrationgefunden wurden (= ).

Voraussetzung ist korrektes Fehlertracking in allen Phasenüber zentrales Bug-Tracking

29

DRE für Security-Maßnahmen

M4, dr. jörg spilker, datev e g

Software

Transcript of M4, dr. jörg spilker, datev e g