5 Jahre Application Security in der Praxis – ein Erfahrungsbericht aus der LBBW

In der IT der Landesbank Baden Württemberg (LBBW) haben wir Application Security systematisch und entlang des OWASP SAMM Reifegradmodells über die Dimensionen Kompetenz, Kultur, Technik, Organisation und Governance hinweg aufgebaut. Daraus ist eine langfristige Roadmap entstanden, die neben SAMM auch IT strategische Überlegungen sowie gesetzliche (DORA, CRA), technologische (KI, Cloud) und ökonomische Einflussfaktoren berücksichtigt.

Nach dem Prinzip, stets das schwächste Glied der Kette zu stärken, verfolgen wir einen ganzheitlichen Ansatz. Wir berichten anhand konkreter Maßnahmen, wie Schulungen und Best Practices, SAST in CI/CD Pipelines, einem zentralen AppSec Team, Security Champions und Security Gates, offen darüber, was in fünf Jahren Praxis wirksam war, wo Grenzen lagen und welche Ansätze wir verworfen haben.

Zusätzlich zeigen wir, woran aktuell gearbeitet wird und welche Ziele noch erreicht werden sollen, damit die Verankerung von Sicherheit in allen Aspekten des SDLC gelingen kann.

Vorkenntnisse

Der Vortrag richtet sich an Personen aus Softwareentwicklung, Architektur und IT-Security sowie allgemein IT-Interessierte, die verstehen möchten, wie sich Application Security in realen Organisationsstrukturen praktisch umsetzen lässt.

Lernziele

Die Teilnehmenden erhalten einen Einblick in die systematische Vorgehensweise bei der Einführung von Application Security in der IT über einen längeren Zeitraum.