Agil und sicher entwickeln

Leichtgewichtige Methoden wie Scrum definieren die Software-Entwicklung neu - doch wie kann Software auch mit agilen Konzepten sicher entwickelt werden?

» Von Jonas Trindler, 22.10.2010 17:29.

weitere Artikel

Software Engineer bei Zühlke Schweiz. Er ist Certified Information System Security Professional (CISSP), Certified ScrumMaster und hat einen Master-Abschluss in Information Security

Agile Entwicklungsmethoden haben in modernen und komplexen Software-Projekten Fuss gefasst. Die leichtgewichtigen Methoden mit bewusst kleinem Managementaufwand versprechen eine höhere Produktivität, kürzere Release-Zyklen und qualitativ bessere Software. Der entscheidende Vorteil von Entwicklungsmethoden wie Scrum ist jedoch die bewusst hohe Transparenz. Damit lässt sich schnell und iterativ immer wieder aufzeigen, was im Projekt gut läuft, aber auch, was noch zu verbessern ist.

Vorbeugen und absichern

Unabhängig von der gewählten Entwicklungsmethode haben die Bedrohungsszenarien auf die immer stärker vernetzten Applikationen - und die dahinter stehenden Daten - in den letzten Jahren massiv zugenommen. Cyber-Kriminalität ist Realität und wird in den nächsten Jahren sogar noch stark zunehmen. Es gibt kaum Unternehmen, die ihre Business-Modelle nicht auf dem Internet aufbauen und damit bei einem Zwischenfall schnell in ihrer Existenz bedroht sind.

Gängige Sicherheitslösungen sind meist darauf ausgerichtet, kritische Löcher von qualitativ mangelhafter oder nicht gewarteter Software notdürftig zu stopfen. Diese Symptombekämpfung mag zwar funktionieren, hinkt jedoch fast immer einen Schritt hinterher. Das Problem sollte an seiner Wurzel behandelt werden - direkt bei der Entwicklung der Software. Die Erfahrung zeigt zudem, dass Sicherheit nicht kurz vor oder während der Inbetriebnahme in die Software integriert werden kann, wie dies oft versucht wird. Sie muss von Anfang an mitberücksichtigt werden.

Erste Ansätze («Building Security In», Garry McGraw, 2006; Microsoft SDL) zeigen, wie Sicherheit auch in Software-Entwicklungsprozessen integriert werden kann. Doch es fehlt vielerorts noch am Verständnis für deren Wichtigkeit. Einer der Gründe dafür ist, dass der direkte Nutzen der Investition meist nicht sofort sichtbar wird. Die Integration von Sicherheit in Software sollte stattdessen als eine Art Versicherung gesehen werden. Denn auch die Sicherheit muss als Trade-off in einem gesunden Kosten-Nutzen-Verhältnis zum Business stehen.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.