Nähert man sich, insbesondere als kleines Unternehmen, dem Thema Secure Development Lifecycle an, steht man vor erheblichen Herausforderungen und Investitionen – mit ungewissem Ergebnis. Hier ist Erfahrung und Praxiswissen gefragt.
Softwaresicherheit ist eingebettet in die Unternehmenssicherheit: Zuerst werden die Unternehmenswerte, dann die möglichen Angreifer ins Auge gefasst. Daraus werden dann diejenigen Maßnahmen abgeleitet, mit denen sich Sicherheit im Entwicklungsprozess effizient herbeiführen lässt. An Praxisbeispielen bis runter auf Code-Ebene demonstrieren wir Ihnen die konkrete Umsetzung, so dass weder Theorie noch Praxis zu kurz kommen.
Die Inhalte des Vortrags sind die Lessons Learned aus einer mehr als zehnjährigen Beratungs- und Lehrtätigkeit. Die Praxisbeispiele sind vornehmlich aus der nativen mobilen Entwicklung für iOS und Android gewählt.
Vorkenntnisse
Primäre Zielgruppe sind Softwareentwickler und -Architekten. Darüber hinaus sind keine besonderen Vorkenntnisse notwendig. iOS- und Android-Entwickler können den einen oder anderen Praxistipp mitnehmen.
Lernziele
Der Vortrag zeigt das Thema Secure Development Lifecycle in Theorie und Praxis. Der Zuhörer kann sich dem Thema anschließend somit auf der planerischen Ebene widmen sowie konkrete Maßnahmen aus dem Vortrag unmittelbar anwenden. Somit profitieren sowohl Sicherheitsarchitekten, Software-Architekten und Programmierer von dem Vortrag.
// Klaus Rodewig
ist Entwickler und Mitglied im Expertenkreis Cyber-Sicherheit des BSI. Er programmiert und analysiert mobile Apps und ist neben dem Entwickeln auch als Berater für Informationssicherheit tätig. Seine Erfahrungen in sicherer Softwareentwicklung, Code Audits und Reverse Engineering gibt er in Büchern, Artikeln, Workshops und als Lehrbeauftragter für Informationssicherheit weiter.
// Ivo Keller
leitet seit 2015 den Studiengang Security Management (M.Sc.) an der TH Brandenburg. Er studierte Technische Kybernetik und Elektrotechnik und forscht in den Bereichen der Unternehmens- und IoT-Sicherheit bis zu anonymisierten Bezahlmodellen. Im Fraunhofer-Lernlabor Cybersicherheit/Softwarequalität und Produktzertifizierung leitet er das Modul Secure Software Engineering.