arrow arrow--cut calendar callback check chevron chevron--large cross cross--large download filter kununu linkedin magnifier mail marker menu minus phone play plus quote share xing

Webanwendungen wirksam schützen

... in Ihrem agilen Entwicklungsteam

Durch die weltweite Vernetzung ändert sich die Bedrohungslage für IT-Systeme laufend. Sensible Daten und komplexe Individualsoftware müssen vor Missbrauch über die ständig neu veröffentlichen Schwachstellen geschützt werden. Eine Firewall allein reicht dabei nicht - und ein Checklistenaudit wird den vielfältigen Anforderungen individueller Software in einem dynamischen Umfeld nicht gerecht. Die CI Security Consultants verankern IT-Sicherheit deshalb dort, wo sie wirkt: als Rolle in Ihrem agilen Entwicklungsteam, in Ihrem Code und in Ihrer Betriebsumgebung.

Web Application Security Portfolio Cologne Intelligence mobile
Web Application Security Portfolio Cologne Intelligence

Unser Security Consulting-Ansatz

Web Application Security bei Cologne Intelligence basiert auf drei Säulen: dem Security Concept, Secure Development sowie dem sicheren Betrieb von Web Anwendungen. Hinzu kommt der Security Champion als disziplinübergreifende Rolle: Zum einen kommen unsere Security Consultants als Sicherheitsprofis in Ihr Team und bearbeiten dort konkrete Fragestellungen, zum anderen sensibilisieren und schulen sie Ihre Entwickler.

Security by Design: Wir erarbeiten Ihr Security Concept

Das Security Concept enthält konkrete Maßnahmenempfehlungen für neue oder bereits bestehende Anwendungen und dokumentiert nachvollziehbar deren Sicherheit. Damit bildet es die Basis für Security by Design. Im ersten Schritt arbeiten sich unsere Consultants über Interviews und Workshops intensiv in Ihre Anforderungen und Systeme ein.

Typische Fragestellungen im Rahmen des Security Concept

  • Welche Assets muss ich schützen - und gegen wen?
  • Welche Maßnahmen helfen wirklich?
  • Wo können Standards gesetzt werden?
  • Wann ist eine Verschlüsselung effektiv?
  • Welche Aspekte meiner Architektur sind wichtig?

Wie geht eigentlich Threat Modeling? In unserem Blog geben wir einen ausführlichen Einblick!

Wesentliche Methoden bei der Erstellung eines individuellen Security Concepts

  • Threat Modeling
  • Schutzbedarfsanalyse
  • Fokusanalyse

Während der Schutzbedarfsfeststellung identifizieren wir mit Ihnen, welche Daten und Systeme wie schutzbedürftig sind und gegen welche potenziellen Angreifer ein Schutz erfolgen muss. Diese Einstufung bildet die Basis für die Auswahl angemessener Maßnahmen. Einen ersten grundlegenden Schutz über alle definierten Komponenten Ihrer Anwendung erreichen wir mit der Baseline-Security. Dazu werden Standards und Architektur-Pattern eingesetzt. Wenn der Schutzbedarf es erfordert, gehen wir im Threat Modeling einen Schritt weiter. Dabei nutzen wir das Wissen und die Kreativität des Teams, um Bedrohungen zu erkennen und durch individuelle Maßnahmen zu verhindern. Unsere langjährige Erfahrung in der agilen Software-Entwicklung hilft uns, Architekturen zu bewerten, zu optimieren und auf Ihre Prozesse abzustimmen. So gelingt es, einen nachhaltigen und wirkungsvollen Security-by-Design-Ansatz im Konzept zu etablieren.

Secure Development: IT Security steht und fällt mit dem Code

Durch agile Entwicklungsmethoden werden die Zyklen, in denen Software aus der Entwicklung in die Produktion gelangt, immer kürzer. Gleichzeitig steigt mit der Komplexität der Systeme auch die Gefahr, durch einen vermeintlich harmlosen Bug eine große Sicherheitslücke zu verursachen. Umso wichtiger ist es, sicherheitsrelevante Fehler in Anwendungen und Bibliotheken bereits vor der Livestellung auf Code-Ebene zu identifizieren und zu beheben.

Mit diesen Methoden sichern unsere Experten Ihren Code

  • Parallel zur Entwicklung prüft unser Sicherheitsexperte mit kommerziellen und Open-Source-Tools die Anwendung auf Schwachstellen
  • Unser Experte unterstützt das Team beratend und durch punktgenau bereitgestellte Code Snippets, sodass Ihre Entwickler schnell reagieren und die Fehler beheben können

Übrigens: Der Aufwand für nachträgliches Troubleshooting ist extrem hoch. Laut National Institute of Standards and Technology (NIST) kostet es 10 Mal weniger, Verwundbarkeiten bereits in der Entwicklungsphase zu identifizieren, als später in der Testphase.

Secure Operations

Ist Ihre Anwendung gut konzipiert und solide entwickelt, muss sie noch sicher betrieben werden. Ein sicherer Anwendungsbetrieb erfordert regelmäßige Security Scans, ein effektives Monitoring und ein funktionierendes Patch Management. Wir helfen Ihnen, Systeme auf Anwendungsebene zu härten und geeignete Architekturen aufzubauen.

Sie haben bereits eine Anwendung im Betrieb und möchten die IT Sicherheit stärken ohne die Anwendung anpassen zu müssen? Dabei können zusätzliche betriebliche Maßnahmen helfen, wie z.B. der Einsatz einer Web Application Firewall (WAF). Hierzu können wir Sie neutral beraten, da wir keine Produkte vertreiben.

Mit agiler Security zur sicheren Webanwendung: der CI Security Champion

Nachhaltige IT-Sicherheit muss aus dem Entwicklungsteam kommen. Dieses ist jedoch in der Regel voll und ganz mit der Weiterentwicklung einer Anwendung und neuer Features beschäftigt. Im Tagesgeschäft verliert die IT-Sicherheit daher häufig an Priorität – insbesondere dann, wenn Entwickler zwar ahnen, dass ein gewählter Ansatz unsicher ist, aber die Expertise für eine sichere Lösung fehlt und/oder die Recherche zeitaufwendig ist. Deshalb integriert sich der CI Security Champion in Ihr agiles Entwicklerteam und stellt so IT-Security Know-how dort bereit, wo es benötigt wird. Er führt aktiv sicherheitsrelevante Methoden und Best-Practice-Lösungen ein, teilt sein umfangreiches Wissen und etabliert eine moderne Sicherheitskultur in Ihrem Projekt oder Unternehmen. Die Entwickler können sich wieder Gestaltung und Funktionalität der Software konzentrieren. Dabei unterstützt Sie der CI Security Champion zuverlässig in allen Phasen des Software Development LifeCycles (SDLC).

Ihr Ansprechpartner

Foto von Benjamin Horvat