Die Berücksichtigung von Security galt lange Zeit als nachgelagerte Aufgabe in Softwareprojekten – oder wurde gerne an zentrale Infrastrukturen wie Firewalls delegiert. Dadurch wird jedoch nicht nur eine große Chance verpasst, frühzeitig die richtigen Weichen für sicherere Software zu stellen, sondern auch akzeptiert, dass oft mit hohem Zeit- und Kostenaufwand größere Korrekturen an wesentlichen Komponenten oder an der Architektur durchgeführt werden müssen.

Gerade in agilen Projekten bietet es sich an, Security von Beginn an und systematisch zu integrieren und die direkte Rückkopplung und kontinuierliche Verbesserung zu nutzen.

In unserem Vortrag wollen wir zeigen, wie die frühzeitige Berücksichtigung von Security in Software-Entwicklungsprojekten gelingen kann und welche Vorteile gerade agile Vorgehensweisen haben. Darüber hinaus plädieren wir für eine übergreifende Sicht, die im Sinne von DevSecOps eine Anwendung nicht von Build- und Deployment-Strecke sowie von Infrastruktur und Betrieb trennt. Besondere Bedeutung haben die schrittweise Erarbeitung konkreter Sicherheitsanforderungen, wie sie beispielsweise aus dem Threat-Modelling abgeleitet werden können. Durch die schrittweise Konkretisierung und Vervollständigung von Sicherheitsanforderungen und deren Umsetzung in automatische Tests kann das Sicherheitsniveau inkrementell validiert, nachgehalten und verbessert werden.