Interview mit Carsten Cordes

Security Aware Development: Wie das Thema Sicherheit im ganzen Entwicklungsprozess berücksichtigt werden kann

Hartmut Schlosser

Carsten Cordes

Auf dem Agile Day der JAX 2018 trafen wir uns mit den Sprechern für eine Expertenrunde. Heute erklärt uns Carsten Cordes, weshalb agile Software-Entwicklung und Security ideal zusammenpassen und was es mit „Security Aware Development“ auf sich hat.

JAXenter: Hallo Carsten! Die agile Bewegung ist weit gekommen – von der Grassroot-Bewegung bis zum heutigen Mainstream. Was hat dich persönlich an der agilen Bewegung fasziniert? Was ist für dich das Spannende daran? 

Ich finde es spannend, wie sich das Thema IT-Sicherheit mit agilen Ansätzen vereinen lässt.

Carsten Cordes: Mich fasziniert an der agilen Bewegung vor allem die intrinsische Motivation und die hohe Eigenverantwortlichkeit des Einzelnen, die damit einhergeht. Die Komplexität der Arbeit steigt in allen Branchen, und Entscheidungen müssen immer schneller getroffen werden. Die starren Strukturen klassischer Unternehmen sind oft zu langsam, um diesen Anforderungen gerecht zu werden. Dort hilft ein agiles Mindset enorm weiter. Ich finde es zudem spannend, ob und wie sich das eher dogmatische Thema IT-Sicherheit mit agilen Ansätzen vereinen lässt.

JAXenter: Vielen klassischen Unternehmen fällt es dennoch schwer, agil zu werden. Weshalb ist das so? Wo liegen die typischen Hürden, die es zu überwinden gilt? 

Carsten Cordes: Viele Entscheider in den Unternehmen sind mit der klassischen BWL und ihren Ansätzen groß geworden. Man verlässt sich dabei leider oft lieber auf festgeschriebene, starre Regeln als auf den einzelnen Mitarbeiter. Dort setzt aber meiner Meinung nach mittlerweile ein Umdenken ein, und früher oder später werden sich agile Methoden in vielen Bereichen hoffentlich durchsetzen.

W-JAX
Dr. Carola Lilienthal

9 Fallen auf dem Weg zum Business Value

mit Dr. Carola Lilienthal

DevOps Kubernetes Camp
Erkan Yanar

Das DevOps Kubernetes Camp bietet allen Teilnehmern einen klar verständlichen Einstieg in die Open-Source-Technologie Kubernetes – ein Werkzeug, das den Anforderungen einer skalierenden Dockerinstallation gerecht wird.

JAXenter: Auf dem Agile Day der JAX hast du eine Session mit dem Titel „Security Aware Development – IT-Sicherheit und agile Entwicklung“ gehalten. Dabei sagst du, dass durch die Cloud und die zunehmende Vernetzung von Softwaresystemen einerseits die Securityanforderungen immer relevanter werden, andererseits aber traditionelle Qualitätssicherungsmethoden ins Leere laufen. Wo liegt das Problem bei den traditionellen Methoden der Qualitätssicherung? 

Carsten Cordes: Traditionelle Testmethoden prüfen vor allem die Funktionalität einer Anwendung auf Basis einer Spezifikation. Für sicherheitskritische Probleme existiert oft keine solche Spezifikation. Vielen Entwicklern, Kunden und auch Testern fehlt zudem meist das Know-How, um zu beurteilen, welche Fehler sicherheitskritisch sind und welche nicht. Außerdem lassen sich mögliche Schäden und Eintrittswahrscheinlichkeiten schlecht abschätzen. Das führt in der Praxis leider oft dazu, dass das Thema Sicherheit vernachlässigt wird.

JAXenter: Als Lösung schlägst du Security Aware Development vor. Was ist das genau? 

Carsten Cordes: Security Aware Development (kurz SAD) ist eine Methode, wie das Thema Sicherheit im ganzen Entwicklungsprozess berücksichtigt werden kann. Im Gegensatz zu anderen Modellen, wie zum Beispiel dem SDL von Microsoft, ist SAD sehr viel pragmatischer und lässt sich leichter in kleineren Projekten umsetzen. Da wir als Unternehmen selber agil entwickeln, ist SAD zudem auch von vornherein als agile Methode konzipiert und lässt sich wunderbar in SCRUM integrieren.

JAXenter: Hast du vielleicht einen Tipp für unsere Leser, wie man Security Aware Development umsetzen kann? 

Carsten Cordes: IT-Sicherheit ist für mich immer eine Frage der Perspektive. Deshalb sollte man regelmäßig versuchen, auch die Angreiferperspektive einzunehmen, um zu schauen, wo Schwachstellen in der eigenen Anwendung lauern. Das kann auf verschiedene Weise passieren, z.B. mit einem klassischen Threat-Modeling aber auch mit spielerischen Methoden. Unabhängig von der Methode sollte auf jeden Fall das Team miteinbezogen werden, da dort das meiste Wissen über die Anwendung vorhanden ist.

JAXenter: Welcher aktuelle Trend in der agilen Bewegung findest du momentan besonders spannend? 

Carsten Cordes: Ich finde es spannend, dass sich immer mehr Non-IT-Unternehmen für das Thema Agilität öffnen. Dadurch stößt man immer wieder auf neue Herausforderungen, die wiederum helfen, sich zu verbessern und dazuzulernen.

Viel zu oft verlässt man sich darauf, dass Sicherheit von anderen eingefordert wird.

JAXenter: Was ist die Kernbotschaft deiner Session, die jeder mit nach Hause nehmen sollte? 

Carsten Cordes: Ich finde es wichtig zu betonen, dass sich agile Softwareentwicklung und IT-Sicherheit nicht ausschließen. In jedem Projekt gibt es Dinge, die verbessert werden können, und Sicherheit ist die Aufgabe jedes Einzelnen. Viel zu oft verlässt man sich leider immer noch darauf, dass Sicherheit von anderen eingefordert wird. Das möchte ich ändern: Der Gedanke an Sicherheit sollte im ganzen Entwicklungsprozess berücksichtigt werden.

JAXenter: Vielen Dank für dieses Interview!

Carsten Cordes ist als Entwickler und IT-Sicherheitsberater bei der HEC GmbH tätig. Er beschäftigt sich im Rahmen der Qualitätssicherung mit der aktiven und passiven Sicherheitsanalyse von Webanwendungen und Netzwerken sowie der Automatisierung von Sicherheitstests im Rahmen von Continous Integration. Daneben beschäftigt er sich mit dem Thema Security-Awareness.

 

LESEN SIE AUCH:

 

Agile-Expertenrunde: „Im Kern geht es darum, Verschwendung konsequent zu vermeiden“

 

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Content-Stratege, IT-Redakteur, Storyteller – als Online-Teamlead bei S&S Media ist Hartmut Schlosser immer auf der Suche nach der Geschichte hinter der News. SEO und KPIs isst er zum Frühstück. Satt machen ihn kreative Aktionen, die den Leser bewegen. @hschlosser
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.