Techblog

Security Champions: Fürsprecher für Cybersecurity in den Entwicklungsteams

Von Stefan Fleckenstein
11. Februar 2021

In unseren Softwareentwicklungsprojekten haben wir heutzutage Teammitglieder mit unterschiedlichen Rollen: Entwickler, die Code generieren, Tester, die überprüfen, ob die Anforderungen erfüllt werden, Digital Designer, die ein gutes Benutzererlebnis schaffen, Plattform-Ingenieure, die die Infrastruktur einrichten.

Dabei bleibt eine kritische Lücke: Niemand übernimmt explizit die Aufgabe, sich um Cybersecurity im System zu kümmern. Diese Lücke füllt der Security Champion als dezidierte Rolle. Typischerweise übernimmt ein Teammitglied diese Rolle zusätzlich zu seiner schon bestehende Aufgabe als Entwickler, Architekt oder Tester. So sorgt er oder sie aus dem Team heraus für die Entwicklung eines sicheren und robusten Produkts.

 

Security Champion: einen für jedes Softwareentwicklungsteam

Security Champions schaffen eine Kultur für Cybersicherheit im Team und sorgen dafür, dass Sicherheit tief in den Entwicklungsprozess integriert wird.

  • Sie schaffen Awareness für Sicherheit und motivieren die Teammitglieder, Sicherheitsprobleme frühzeitig und kontinuierlich anzusprechen.
  • Sie etablieren ein Security-by-Design Vorgehen und stellen sicher, dass das Entwicklungsteam die richtigen Werkzeuge hat.
  • Sie fordern das Team heraus und stellen sicher, dass Sicherheit angemessen priorisiert wird.
  • Sie unterstützen das Team und geben ihr Wissen und Best Practices über Sicherheit weiter.

Damit sind die Security Champions der zentrale Ansprechpartner für das Team, den Kunden und andere Stakeholder für alle Themen rund um Sicherheit.

Aufgaben von Security Champions

Security Champions verbessern das Sicherheitsdesign, indem sie die Schutzbedarfsanalyse, Bedrohungsmodellierung und Risikobewertung organisieren oder durchführen. Daraus leiten sie Sicherheitsmaßnahmen ab und schreiben Security- und Abuser-Stories oder Security-Perspektiven für User-Stories.

Sie machen die Implementierung sicher. Ein Security Champion bringt sichere Coding-Praktiken in das Entwicklungsteam ein und prüft Design und Code auf Sicherheit Das Einrichten und Betreiben eines Schwachstellenmanagements ist eine weitere wichtige Aufgabe.

Um die Sicherheit zu überprüfen sprechen sie mit den Testern über passende Testmaßnahmen, prüfen den Bedarf für Penetrationstests und organisieren diese und richten Dynamic Application Security Tests ein. Es kann aber auch richtig Spaß machen, das eigene System selbst zu hacken, siehe dazu auch den Artikel meines Kollegen Philippe Schrettenbrunner "Hast du heute schon etwas kaputt gemacht?"

Nicht zuletzt muss auch der Betrieb sicher sein. Der Security Champion unterstützt das Team bei der Einrichtung von sicheren Entwicklungs- und Laufzeitumgebungen und sorgt dafür, dass das Management von Sicherheitsvorfällen und die Wiederherstellung im Notfall gewährleistet ist.

Dieses Aufgabenportfolio setzt breites Spektrum an Wissen voraus. Wie finden Security Champions in ihre Rolle?

Elan, Coaching und Übung führen zum Erfolg

Aus unserer Sicht kann jedes Teammitglied Security Champion sein. Man muss nicht von vornherein Fachexperte sein, solange man eine Leidenschaft für Sicherheit hat und Spaß daran, sich selbst und andere weiterzubilden.

Bei der Einarbeitung ist Coaching essenziell. Neu ernannte Security Champions bekommen einen erfahrenen Kollegen oder eine erfahrene Kollegin an die Seite gestellt, die als Sparringspartner fungieren. Zusätzlich haben wir in unserer Cybersecurity-Wissensdatenbank viele Informationen zu Aktionen und Maßnahmen eines sicheren Entwicklungslebenszyklus zusammengetragen, mit Hintergrundinformationen und weiterführenden Links. Und in unserer sogenannten Champions League, der Community der Security Champions, können sich Kolleg*innen untereinander austauschen und Best Practices teilen.

Cybersecurity: iterativ-inkrementell statt ganz oder gar nicht

Security Champions sind ein exzellenter Weg, Cybersecurity tief in Entwicklungsprojekte einzubinden. Wichtig dabei ist, den Prozess schrittweise aufzubauen. Ausgebildete Security Champions fallen nicht vom Himmel. Mitarbeiter*innen die neu in diese Rolle kommen, müssen nicht alle oben beschriebenen Maßnahmen von Beginn an umsetzen. Sie können mit ersten Schritten starten und Sprint für Sprint dazulernen und mehr Maßnahmen in ihr Team einbringen. Damit tragen sie vom Start weg dazu bei, ein sicheres System zu entwickeln.

Neuen Kommentar schreiben

Public Comment form

  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd><p><h1><h2><h3>

Plain text

  • Keine HTML-Tags erlaubt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.

ME Landing Page Question