Apps von Grund auf sicher entwicklen

Motivation und Problemstellung

Aufgrund der zunehmenden Digitalisierung nimmt das Thema der Angriffssicherheit eine immer wichtigere Rolle für die softwareentwickelnden Unternehmen als auch deren Kunden innerhalb NRWs ein. Beispielsweise verpflichtet die ab Mai 2018 gültige EU-Datenschutzgrundverordnung Unternehmen alle personenbezogenen Daten entsprechend zu schützen, z.B. durch eine passende Verschlüsselung, und definiert bei nicht korrekter Umsetzung signifikante finanzielle Sanktionen.

Für Unternehmen ist die Gewährleistung von IT-Sicherheit jedoch eine vielschichtige Herausforderung. Den Entwicklern fehlt es häufig an Werkzeugen, Methoden und an Security-Kompetenz, um effizient sicher entwickeln zu können. Externe Einflüsse wie z.B. Zeitdruck, geringes Budget sowie eine fehlende Sensibilisierung aller am Prozess beteiligten Personen verschärfen das Problem zusätzlich.

Zwei Personen an einem Computer mit Codierungs-Dokumenten. — © REDPIXEL / Adobe Stock
AppSecure.nrw - Schulungen, Werkzeuge & Prozesse für eine sichere App Entwicklung.

Projektziele und Lösungsansatz

Ziel des Projektes AppSecure.nrw ist es, ein Instrumentarium für die sichere Softwareentwicklung zu erarbeiten und in der Praxis zu evaluieren. Dabei sollen die Vorarbeiten und Forschungsergebnisse aus der Wissenschaft so weiterentwickelt und aufbereitet werden, dass Softwareentwicklerinnen und -entwickler sie direkt und unkompliziert selbst einsetzen können. Der Fokus des Projekts liegt hierbei auf mobile und webbasierte Anwendungen.

Um Applikationen von der Konzeption bis in den Betrieb hinein sicher zu gestalten, erarbeitet das Projektteam einen sogenannten Secure Development Lifecycle (SDLC). Dieser berücksichtigt unter anderem wichtige Fragen wie die Verarbeitung und Verwaltung sicherheitskritischer Daten. Zusätzlich werden Codeanalyse-Werkzeuge in den SDLC integriert, mit denen zum Beispiel Programmierfehler ähnlich wie bei einer Rechtschreibprüfung bereits in der Entwicklung entdeckt und behoben werden können. Die Ergebnisse von AppSecure.nrw werden von drei Anwendungspartnern in der Praxis erprobt und sollen nach Projektende auch für andere Unternehmen anwendbar sein. Für die Weiterbildung und den Erfahrungsaustausch organisiert das Projektteam gezielte Schulungen und Netzwerkveranstaltungen.

In den nächsten Monaten erstellen die Projektpartner zunächst eine Studie zur IT-Sicherheit in softwareentwickelnden Unternehmen aus Deutschland, Österreich und der Schweiz. Sie sammeln damit wichtige Informationen zur aktuellen Situation und Bedarfen, die in das Projekt einfließen. Die Studie wird Ende 2019 vorgestellt und dann frei verfügbar sein.

Projektergebnisse

Studie: Software Security

Zum Download

Video: Apps sicher entwickeln - als Developer

Zum Video

Video: Apps sicher entwickeln - als Product Owner

Zum Video

Projektsteckbrief

Projekttitel	Security-by-Design von Java-basierten Applikationen
Laufzeit	01/2019 bis 12/2021
Förderung	Europäischen Fonds für regionale Entwicklung (EFRE.NRW)
FörderVolumen	1,5 Mio.€
Kooperationspartner	adesso mobile solutions GmbH Axa Konzern AG Connext Communication GmbH Fraunhofer IEM
ProjektLeiter	Prof. Dr. Eric Bodden
Ziele	Sensibilisierung für das Thema Security in der Softwareentwicklung Methoden & Werkzeugen weiterentwickeln und in der Praxis evaluieren Schulungen & Weiterbildungen erarbeiten und praktisch evaluieren

Förderhinweise

Das Forschungsprojekt AppSecure.nrw wird aktuell von Partnern aus NRW und durch die Initiative EFRE unterstützt.

Der Europäische Fonds für regionale Entwicklung und die Kohäsionspolitik fördern die Umsetzung der Europa 2020 Strategie für intelligentes, nachhaltiges und integratives Wachstum. Zentrale Aspekte der Strategie sind die Erhöhung von Wohlstand und Produktivität. Damit verbunden sind Forschung und Innovation, die Erhöhung der Wettbewerbsfähigkeit von KMU, die Förderung von Bildung und Ausbildung, die Reduzierung der Armut sowie die Bekämpfung des Klimawandels und der Energieabhängigkeit.