MAN: Secure Software Development Life Cycle
Die Anforderung
MAN lebt Sicherheit
Mit der Digitalisierung der Fahrzeuge steht MAN vor der Herausforderung, dass ein LKW ein immer attraktiveres Ziel für virtuelle Angreifer darstellt. Um gegen digitale Gefahren der Zukunft gerüstet zu sein, wollte MAN die Art und Weise, wie Sicherheit in der Softwareentwicklung im digitalen Ökosystem des Fahrzeugs gelebt wird, auf ein höheres Level heben.
Mit dem systematischen Ansatz eines „Secure Software Development Life Cycle“ (SSDLC) werden die gesetzlichen Anforderungen der UNECE-Regulierung UN R155 in den Fahrzeug-Backendsystemen erfüllt, die einen Betrieb eines zertifizierten Cybersecurity-Managementsystems verlangt. Zudem wird Sicherheit fester Bestandteil der DNA der Entwicklungsteams.
Branche
- Automotive
Erstellter Prozess
- Secure Software Development Life Cycle (SSDLC)
Wichtigste Methoden
- Security Champions, DevSecOps, OWASP SAMM
Projektdauer von Auftrag bis Übergabe
- 22 Monate
Echte Teamarbeit
Das Erfolgsgeheimnis
Wir verfolgten immer eine aktive Einbindung der Teams selbst und wollten Sicherheit nie von außen in die Systeme einbringen. In den meisten Fällen weiß ein Entwicklungsteam viel besser als ein externer Experte, wo das System am verwundbarsten ist. Insgesamt folgen 22 Entwicklungsteams für fahrzeugnahe IT-Systeme dem Secure Software Development Life Cycle und führen systematisch Sicherheitsaktivitäten während der Entwicklung aus.
Vorgehen
Mit dem Rahmenwerk Software Assurance Maturity Model (OWASP SAMM) können Unternehmen den Reifegrad ihrer Softwareentwicklung hinsichtlich Security messen und verbessern. Wir identifizierten mögliche Verbesserungen für die Entwicklungsprozesse der MAN und gestalteten sie so, dass sie die gesetzlichen Anforderungen der UNECE R155 erfüllen. So trägt der Secure Software Development Life Cycle zur Gesamtauditierung bei.
Mit den Entwicklungsteams gestalteten wir Richtlinien, Methodiken und Tools, mit denen sie eigenständig Risiken für ihre Systeme identifizieren, bewerten und behandeln können. Anschließend unterstützten wir die Teams der MAN bei der Einführung mit Schulungen und Workshops.
Methoden
Zentrales Leitwerk unserer Arbeit war das Open Web Application Security Project SAMM (Software Assurance Maturity Model). Dieses Framework passten wir an die Bedürfnisse des Kunden an und wandten es individuell zugeschnitten auf MAN an.
Weiterer Baustein war die Security Community, die wir teamübergreifend einberiefen. Entwickler:innen, die sich um Sicherheitsaspekte kümmern, können sich so über Vorgehensweisen und konkrete Implementierungsaspekte austauschen.
“Entscheidend für den Projekterfolg: Das Team hat nicht versucht, Sicherheit in einer ‘Polizeirolle’ von außen in die Entwicklungsteams zu bringen. Stattdessen hat es unsere Teams selbst dazu befähigt, die Sicherheit systematisch zu beurteilen.”
Philipp Lindemann, Projektleiter MAN
Mehr erfahren