Fraunhofer-Institut für
Software Security ist ein sensibles Thema und wird angesichts zunehmender Cyberangriffe immer bedeutender. Doch in vielen Unternehmen ist das Bewusstsein für Sicherheit in der Softwareentwicklung noch nicht auf allen Ebenen verankert. Zudem wissen Unternehmen oft nicht genau, wie gut die von ihnen entwickelten Softwareanwendungen geschützt sind und welche Maßnahmen erforderlich sind, um ein angemessenes Security-Level für ihre Produkte zu erreichen. Mit unserem Software Security Assessment setzen wir genau hier an: Wir erfassen systematisch den aktuellen Stand der Security bei den Softwareprodukten Ihres Unternehmens. Daraus leiten wir Handlungsempfehlungen in Bezug auf die eingesetzten Technologien, die Prozesse, die Organisation und die Kompetenzen der Mitarbeitenden ab. Durch das Assessment können wir Ihnen anschließend eine fundierte und umfassende Analyse präsentieren, die alle Aspekte von Software Security berücksichtigt. Um die Ergebnisse des Software Security Assessments noch effektiver zu nutzen, können Sie zudem auf Basis unserer Analyse passende Trainings der IEM Academy für verschiedene Rollen in Ihrem Unternehmen wählen. Ganz gleich ob Softwareentwickler:innen, Product Owner oder Führungskräfte – wir passen
unsere Trainings im nächsten Schritt genau auf die ermittelten Bedürfnisse Ihrer Mitarbeitenden an und schaffen damit die Voraussetzungen für eine effiziente Qualifizierung.
© Sy_Sarayut / Adobe Stock
Software Security Assessment
Mit einem Software Security Assessment den Security-Stand Ihrer Softwareentwicklung erfassen und passende Trainings finden
Ablauf des Software Security Assessments
Das Software Security Assessment beginnt mit einem Online-Fragebogen, den alle an der Softwareentwicklung beteiligten Personen im Unternehmen ausfüllen. Mit den Antworten aus dem Fragebogen können wir beurteilen, wie ausgeprägt das Bewusstsein für Software Security auf verschiedenen Ebenen Ihres Unternehmens ist. Im nächsten Schritt führen wir einen ca. 2-stündigen Online-Workshop mit Softwareentwickler:innen, Software-Architekt:innen, Product Ownern, Security-Verantwortlichen und ggf. Führungskräften durch, um verschiedene Perspektiven und Prozesse im Bereich Software Security zu erfassen.
Danach folgen individuelle Interviews mit den relevanten Stakeholdern im Unternehmen. Das Ziel dieser Interviews ist es, einen umfassenden Blick auf die einzelnen Rollen und Aufgaben im Umfeld der Softwareentwicklung zu erhalten. Darüber hinaus führen wir gemeinsam mit den Softwareentwickler:innen einen Code Walkthrough durch und betrachten einen exemplarischen Entwicklungsworkflow. Insgesamt führen wir je nach Abstimmung und Anzahl der beteiligten Personen 4-5 Interviews mit einer Länge von jeweils 1-2 Stunden durch. Die daraus gewonnenen Erkenntnisse nutzen wir, um die Qualität Ihrer bisherigen Software Security-Aktivitäten anhand eines Reifegrad-Modells wie z.B. OWASP SAMM einzuordnen. Die Reifegrad-Bestimmung gibt Ihnen eine klare Orientierung, wo Sie stehen und dient als Roadmap, um Ihre nächsten Entwicklungsziele zu definieren. Alle Ergebnisse werden darüber hinaus in einer schriftlichen Auswertung festgehalten und im Rahmen eines Management Meetings vorgestellt. Unsere detaillierte Analyse zeigt Ihnen Schwachstellen und Verbesserungspotenziale in Ihrer bisherigen Entwicklungsarbeit auf und schafft somit die Grundlage für die Planung zielgerichteter Maßnahmen.
In Verbindung mit unseren zweitägigen Trainingsangeboten Software Security Training für Entwickler:innen und dem Software Security Training für Product Owner und Führungskräfte können Sie auch eine kürzere Variante des Security Assessments wählen, um die Voraussetzungen Ihres Unternehmens zu prüfen und das von Ihnen gewählte Training bestmöglich auf Ihre Bedürfnisse hin anzupassen.