Application Security - Entwicklung sicherer Software ISO 27034 in der Praxis

Kurzbeschreibung

Sicherheitslösungen wie Mobile Device Management Systeme (MDM), Malwareschutz und Firewalls sowie Erstellung von Sicherheitsrichtlinien reichen nicht aus zur Erreichung eines angemessenen Sicherheitsniveaus. Vielmehr muss die Sicherheitsqualität der eingesetzten Sicherheitsprodukte auf Sicherheitslücken überprüft werden.

Einen wirkungsvollen Hersteller- und Technologie-unabhängigen Ansatz zur Entwicklung sicherer Software liefert die "ISO 27034-1 Application Security". Diese Norm unterstützt Ent-wickler, Application Security in ihren App-Entwicklungszyklus einfach zu integrieren. Den Kern dieser Norm bilden zwei Hauptprozesse:

Im Organisation Normative Framework (ONF) werden alle im Unternehmen verwendeten Richtlinien, Regularien, Best Practices etc. in einer unternehmensweiten Bibliothek zusammengefasst.

Anschließend wird im Application Security Management Process aus dem ONF für jedes einzelne Projekt ein Application Normative Framework (ANF) gebildet, indem die für dieses spezielle Projekt notwendigen Richtlinien, Regularien, Best Practices etc. zusammen mit den zugehörigen Sicherheitsaktivitäten - Application Security Controls (ASC) - aus dem ONF in den Produktlebenszyklus, den Entwicklungsprozess integriert werden.

Dozent

Prof. Dr. Hartmut Pohl: Security Testing von Software und Hardware (Firmware) auf der Basis der ISO 27034. Erfolgreiche Identifizierung bisher nicht erkannter Sicherheitslücken (Zero-Day Vulnerabilities) mit den folgenden 5 Verfahren: Security Requirements Analysis, Threat Modeling, Static Source Code Analysis, Penetration Testing, Dynamic Analysis - Fuzzing in kommerzieller Software, Sicherheitssoftware, Industriesteuerungen, Routern etc. Geschäftsführender Gesellschafter der IT-Sicherheitsberatung softScheck GmbH