m4, dr. jörg spilker, datev e g
TRANSCRIPT
![Page 1: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/1.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
IT-Sicherheit als Qualitätsmerkmal in der Softwareentwicklung
![Page 2: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/2.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
n Vorstellung
n Sicherheit in der Software-Entwicklung – Was ist das?
n Sicherheit als Qualitätsmerkmal – Wie?
GSE Tagung -Hamburg 2015
2
Agenda
![Page 3: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/3.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
GSE Tagung -Hamburg 2015
3
Das Unternehmen
Nürnberg
DATEV eGHauptsitz: NürnbergGründung: 1966
Berufsständische EDV-Dienstleistungsorganisationin Europa für:
§ Steuerberater§ Rechtsanwälte§ Vereidigte Buchprüfer§ Wirtschaftsprüfer
![Page 4: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/4.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
GSE Tagung -Hamburg 2015
4
DATEV: Auftrag und Mitglieder
§ Wirtschaftliche Förderung unserer Mitglieder (40.393 in 2014)
§ Das bedeutet: Unterstützung bei allen Dienstleistungen unserer Mitglieder für deren Mandanten
§ Steuerberater§ Rechtsanwälte§ Wirtschaftsprüfer§ Vereidigte Buchprüfer§ Sozietäten und
Partnergesellschaften§ Gesellschaften der
Berufsangehörigen
Unser Auftrag Unsere Mitglieder
![Page 5: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/5.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Referent
§ Jörg Spilker
§ Informatikstudium
§ Promotion in der Sprachverarbeitung
§ 5 Jahre Entwicklung von Web-Anwendungen
§ Seit 2011 Leiter IT-Security
§ Verantwortlich für die Umsetzung des Informationssicherheitsmanagements im Unternehmen.
§ Definition von Prozessen und Security Policies sowie Durchführung dazugehöriger technischen und organisatorischen Audits.
GSE Tagung -Hamburg 2015
5
![Page 6: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/6.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
n Vorstellung
n Sicherheit in der Software-Entwicklung – Was ist das?
n Sicherheit als Qualitätsmerkmal – Wie?
GSE Tagung -Hamburg 2015
6
Agenda
![Page 7: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/7.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
……
…
Warum IT-Sicherheit?
GSE Tagung -Hamburg 2015
7
KnowHow-Schutz
ImageBDSG
KonTraG
€
…
![Page 8: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/8.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Sicherheitsanforderungen
GSE Tagung -Hamburg 2015
8
Ich brauche Verschlüsselung und
Fingerabdruckscanner
![Page 9: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/9.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Was bedeutet Sicherheit als Qualitätskriterium?
Sinnvolle Qualitätskriterien?
n Sichere Authentifizierung?n Kann AES Verschlüsselung?n 256 Bit Schlüssel statt 128
n Ist signiert?n Hat in den letzten 12 Monaten keine
öffentliche Schwachstelle?n Bietet regelmäßig Patches?n Sichere Softwareentwicklung
GSE Tagung -Hamburg 2015
9
Funktionale Kriterien
Nichtfunktionale Kriterien
![Page 10: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/10.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Heise: Schutzlose Wächter - Antiviren-Software als Sicherheitslücke
Werden die Wächter selber angegriffen, haben sie dem oft wenig entgegenzusetzen. Und Fehler, die einen solchen Angriff ermöglichen, gibt es nach wie vor zu Hauf, bilanziert ein Sicherheitsforscher seine Analyse von 17 Antiviren-Programmen.
Heise-Meldung vom 30.7.2014(http://www.heise.de/security/meldung/Schutzlose-Waechter-Antiviren-Software-als-Sicherheitsluecke-2277782.html)
GSE Tagung -Hamburg 2015
10
![Page 11: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/11.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
NIST-zertifizierte USB-Sticks mit Hardware-Verschlüsselung geknackt
Kingston, SanDisk und Verbatim vertreiben recht ähnliche, verschlüsselnde USB-Sticks mit AES 256 Bit in Hardware, die höchsten Sicherheitsansprüchen genügen sollen. Das soll insbesondere die FIPS 140-2 Level 2 Zertifizierungdes des US-amerikanischen National Institute of Standards and Technology (NIST) unterstreichen, durch die sich die Sticks für den Einsatz mit sicherheitsbedürftigen Daten von Regierungsbehörden qualifizieren. Wie die Sicherheitsfirma SySS herausgefunden hat, ist es trotzdem recht einfach möglich, auch ohne das eigentlich erforderliche Passwort an die unverschlüsselten Daten zu kommen.
Heise-Meldung vom 4.1.2010(http://www.heise.de/security/meldung/NIST-zertifizierte-USB-Sticks-mit-Hardware-Verschluesselung-geknackt-894962.html) GSE Tagung -
Hamburg 2015
11
![Page 12: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/12.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
n Vorstellung
n Sicherheit in der Software-Entwicklung – Was ist das?
n Sicherheit als Qualitätsmerkmal – Wie?
GSE Tagung -Hamburg 2015
12
Agenda
![Page 13: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/13.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Motivation
GSE Tagung -Hamburg 2015
13
Im Durchschnitt existieren Fehler
Codezeilen
![Page 14: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/14.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Qualitätssicherung in der Softwareentwicklung
Variante 1:n Unsere Entwickler kennen sich da aus, das passt schon.
Variante 2: nWir führen am Ende einen Testzyklus durch.
Variante 3:nWir haben ein Qualitätsmanagement: Qualitätssicherung ist
Bestandteil des gesamten Softwareentwicklungsprozesses. GSE Tagung -Hamburg 2015
14
![Page 15: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/15.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Fehlerbehebungskosten
GSE Tagung -Hamburg 2015
15
0,1 1 5 10
100
Kostenfaktor1
1Zahlen entnommen aus: Der Weg Zu Besserem Projekterfolg von Manfred Noé
![Page 16: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/16.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Sicherheit in der Softwareentwicklung
Variante 1:n Unsere Entwickler kennen sich da aus, das passt schon.
Variante 2: nWir führen am Ende einen Penetrationstest durch.
Variante 3:nWir haben ein Qualitätsmanagement: Sicherheit ist Bestandteil
des gesamten Softwareentwicklungsprozesses. GSE Tagung -Hamburg 2015
16
![Page 17: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/17.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Security Quality
17
GSE Tagung -Hamburg 2015
Quality software
Reliablesoftware
Securesoftware
If you care about qualityor reliability, you care about security.
Michael Howard, Writing Secure Code, Microsoft Press, 2003
If you care about qualityor reliability, you care about security.
Michael Howard, Writing Secure Code, Microsoft Press, 2003
![Page 18: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/18.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
S-SDLCSecure Software Development Lifecycle
Security is not a product,it is a process.
Bruce Schneier, Secrets & Lies, John Wiley & Sons, 2000.
18
GSE Tagung -Hamburg 2015
![Page 19: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/19.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
ProdukteSicherheitstechnologien, z.B. Firewalls, 2-Factor-Authentication, Vulnerability-Scanner, Fuzzing-Tools, Sourcecodeanalyse-Tools, Sichere Betriebssysteme, Partionierung, Intrusion-Detection-Systems, …
PersonenFührungsebene (CISO, …), „Evangelisten“, Security-Consultants (intern/extern), Security-Tester, Pen-Tester (intern/extern), …
ProzesseSecurity-Policies, Risikomanagement, Secure Software Development Lifecycle ,Security-Guidelines, Coding-Guidelines, Quality-Gates, Trainingspläne, Berechtigungskonzepte, Incidentmanagement, …
3 P
19
GSE Tagung -Hamburg 2015
![Page 20: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/20.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Secure Development Process
20
Anforderung Design Um-setzung AuslieferungTest
Plan Build Run
Sicherheitsanforderungen erhebenSchutzbedarfsfeststellung &RisikoanalyseDokumentierte Verantwortlichkeiten
Kontrollierte & dokumentierte FreigabeAbschließende Sicherheits-prüfung
Developer-GuidelinesAutomatische CodeanalyseCodeReviews
Freigabe
Incident-managementRelease- & Patch-management GSE Tagung -
Hamburg 2015
Awareness: Ausbildung, Schulung,Richtlinien
![Page 21: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/21.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Übersicht der wichtigsten S-SDLCs
GSE Tagung -Hamburg 2015
21
Veröffentl. -Aktualisiert
Hintergrund Besonderheiten
MS SDL 2004 –2012
Firmenspez. Praxis und Notwendigkeit
Microsoft
• Hoher Bekanntheitsgrad• Threat-Modeling• STRIDE• DREAD
OpenSAMM 2008 –2009
Expertenwissen /Open-Source
OWASP
• ReifegradeAufbauende Level
• Erfahrungswertefür Kosten
• ErfolgsmetrikenBSIMM 2009 -
2013Empirische Studie„Real World Data“
Cigital (Fortify)
• ReifegradeAufbauende Level
• Hoher Bekanntheitsgrad• Detailtiefe• „Ongoing“
![Page 22: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/22.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Microsoft SDL (1)
Microsoft SDL – aus Simplified Implementation 2010 auf DEUTSCHn 5+2 Phasenn 15 verpflichtende Sicherheitsmaßnahmen + 3 optionalen Rückkopplung (Fehlerursachenanalyse)n Pflicht zur regelmäßigen Durchführung von „Prozessupdates“
22
![Page 23: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/23.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
OpenSAMM (1)
n Es gibt 4 Funktionsbereichen mit je 3 Praktikenn unterteilt in 3 aufbauende Level
23
![Page 24: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/24.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Eine Beispiel-Praktik aus dem Funktionsbereich„Construction“
24
![Page 25: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/25.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
BSIMM - Aufbau
25
![Page 26: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/26.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Zusammenfassung
n Sichtbare und „unsichtbare“ Qualitätsmerkmale
n „Unsichtbare“ Merkmale nur indirekt durch Kunden prüfbar (=>Vertrauen)
n Sicherheit ist keine Eigenschaft sondern ein Prozess
n Sicherheit als grundlegendes Element ein Software-Entwicklungsprozesses (SDL) GSE Tagung -
Hamburg 2015
26
![Page 27: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/27.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
GSE Tagung -Hamburg 2015
27
![Page 28: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/28.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
1. Zählen aller Fehler, die vor einer Softwarefreigabe durch Qualitätsmaßnahmen gefunden wurden (= ).
2. Nach typischerweise 90 Tagen Einsatz des Releases beim Kunden werden die Fehler, die beim Kundeneinsatz auftraten gezählt (= ).
3. Die Effizienz berechnet sich wie folgt:
= +n Durchschnitt des DRE-Wertes in der SW-Branche liegt bei 85%.n Gute Hersteller erreichen 95%.
28
Defect Removal Efficiency (DRE)
![Page 29: M4, dr. jörg spilker, datev e g](https://reader031.vdokument.com/reader031/viewer/2022013102/55cadf33bb61eb7f148b466f/html5/thumbnails/29.jpg)
Seite
© DATEV eG, alle Rechte vorbehalten
Security-Variante1. Zählen aller Schwachstellen, die vor einer Abschlusspenetration durch Security-
Maßnahmen gefunden wurden (= ).n Design-Review (= )n Sourcecode-Analyse (= )n Security-Testing (= )
2. Zählen der Fehler, die in der Abschlusspenetrationgefunden wurden (= ).
Voraussetzung ist korrektes Fehlertracking in allen Phasenüber zentrales Bug-Tracking
29
DRE für Security-Maßnahmen