Anwendungen wirksam schützen

Application Security bei Cologne Intelligence umfasst den gesamten Software Development Lifecycle aus Security Concept, Secure Development, Secure Operations sowie Security Testing. Die größtmögliche Wirkung entfaltet sich dabei durch die Kombination eines Security Champions in jedem Entwicklungsteam mit einem Security Architect als teamübergreifende Rolle und Coach der Security Champions. Abhängig von der Ausgangssituation unserer Kunden können die CI Security Consultants entweder als Security Champion direkt eingebunden werden oder als Security Architect agieren. 

Security Champions …

• sind ins Tagesgeschäft der Teams integriert
• haben eine Doppelrolle als Developer und Security-Expert*in
• identifizieren Security-Herausforderungen
• kümmern sich aktiv um das Schwachstellenmanagement und die Vorbereitung von Bedrohungsanalysen
• erarbeiten im engen Austausch mit anderen Security Champions und dem Security Architect gemeinsame Lösungsansätze

Der Security Architect hat die Aufgabe, ein Umfeld für die Entwicklung sicherer Anwendungen zu ermöglichen und Synergieeffekte zu schaffen. Als Coach der Security Champions sorgt er dafür, dass diese ihre Security-Expertise kontinuierlich erweitern.

Das Security Concept enthält konkrete Maßnahmenempfehlungen für neue oder bereits bestehende Anwendungen und dokumentiert nachvollziehbar deren Sicherheit. Damit bildet es die Basis für Security by Design. Im ersten Schritt arbeiten sich unsere Consultants über Interviews und Workshops intensiv in Ihre Anforderungen und Systeme ein.

• Welche Assets muss ich schützen - und gegen wen?
• Welche Maßnahmen helfen wirklich?
• Wo können Standards gesetzt werden?
• Wann ist eine Verschlüsselung effektiv?
• Welche Aspekte meiner Architektur sind wichtig?

• Threat Modeling
• Schutzbedarfsanalyse
• Fokusanalyse

Während der Schutzbedarfsfeststellung identifizieren wir mit Ihnen, welche Daten und Systeme wie schutzbedürftig sind und gegen welche potenziellen Angreifer*innen ein Schutz erfolgen muss. Diese Einstufung bildet die Basis für die Auswahl angemessener Maßnahmen. Einen ersten grundlegenden Schutz über alle definierten Komponenten Ihrer Anwendung erreichen wir mit der Baseline-Security. Dazu werden Standards und Architektur-Pattern eingesetzt. Wenn der Schutzbedarf es erfordert, gehen wir im Threat Modeling einen Schritt weiter. Dabei nutzen wir das Wissen und die Kreativität des Teams, um Bedrohungen zu erkennen und durch individuelle Maßnahmen zu verhindern. Unsere langjährige Erfahrung in der agilen Software-Entwicklung hilft uns, Architekturen zu bewerten, zu optimieren und auf Ihre Prozesse abzustimmen. So gelingt es, einen nachhaltigen und wirkungsvollen Security-by-Design-Ansatz im Konzept zu etablieren.

Durch agile Entwicklungsmethoden werden die Zyklen, in denen Software aus der Entwicklung in die Produktion gelangt, immer kürzer. Gleichzeitig steigt mit der Komplexität der Systeme auch die Gefahr, durch einen vermeintlich harmlosen Bug eine große Sicherheitslücke zu verursachen. Umso wichtiger ist es, sicherheitsrelevante Fehler in Anwendungen und Bibliotheken bereits vor der Livestellung auf Code-Ebene zu identifizieren und zu beheben.

• Parallel zur Entwicklung prüft unser/e Sicherheitsexpert*in mit kommerziellen und Open-Source-Tools die Anwendung auf Schwachstellen
• Unser/e Expert*in unterstützt das Team beratend und durch punktgenau bereitgestellte Code Snippets, sodass Ihre Developer schnell reagieren und die Fehler beheben können

Ist Ihre Anwendung gut konzipiert und solide entwickelt, muss sie noch sicher betrieben werden. Ein sicherer Anwendungsbetrieb erfordert regelmäßige Security Scans, ein effektives Monitoring und ein funktionierendes Patch Management. Wir helfen Ihnen, Systeme auf Anwendungsebene zu härten und geeignete Architekturen aufzubauen.

Sie haben bereits eine Anwendung im Betrieb und möchten die IT Sicherheit stärken ohne die Anwendung anpassen zu müssen? Dabei können zusätzliche betriebliche Maßnahmen helfen, wie z.B. der Einsatz einer Web Application Firewall (WAF). Hierzu können wir Sie neutral beraten, da wir keine Produkte vertreiben.

Nachhaltige IT-Sicherheit muss aus dem Entwicklungsteam kommen. Dieses ist jedoch in der Regel voll und ganz mit der Weiterentwicklung einer Anwendung und neuer Features beschäftigt. Im Tagesgeschäft verliert die IT-Sicherheit daher häufig an Priorität – insbesondere dann, wenn Entwickler*innen zwar ahnen, dass ein gewählter Ansatz unsicher ist, aber die Expertise für eine sichere Lösung fehlt und/oder die Recherche zeitaufwendig ist. Deshalb integriert sich der CI Security Champion in Ihr agiles Entwicklerteam und stellt so IT-Security Know-how dort bereit, wo es benötigt wird. Er führt aktiv sicherheitsrelevante Methoden und Best-Practice-Lösungen ein, teilt sein umfangreiches Wissen und etabliert eine moderne Sicherheitskultur in Ihrem Projekt oder Unternehmen. Die Entwickler*innen können sich wieder auf Gestaltung und Funktionalität der Software konzentrieren. Dabei unterstützt Sie der CI Security Champion zuverlässig in allen Phasen des Software Development LifeCycles (SDLC).