Projektbeschreibung
Immer mehr kleine und mittlere Unternehmen (KMUs) entwickeln Software für eigene Infrastrukturen oder Produkte. Hierbei herrscht meist ein hoher Zeitdruck und es stehen oft nur beschränkt personelle Ressourcen zur Verfügung. Oft werden inzwischen auch agile Softwareentwicklungsmethoden eingesetzt, die schnell einsetzbare Lösungen liefern sollen. Dadurch spielt die Sicherheit dieser Software oft eine untergeordnete Rolle, was sich letztendlich auch auf die IT-Sicherheit dieser Unternehmen und ihrer Kunden auswirkt. Im Fördervorhaben HITSSSE soll die IT-Sicherheit durch sichere Software-Entwicklung für KMUs verbessert werden. Hierfür werden im Forschungsprojekt Handlungsempfehlungen sowie technische Hilfsmittel erstellt, die zuerst bei den assoziierten Partnern des Projekts konkret erprobt werden, um daraufhin generische Lösungsansätze für kleine und mittlere Unternehmen in Deutschland zu schaffen. Durch die Zusammenarbeit mit der Transferstelle „IT-Sicherheit in der Wirtschaft” soll die Breitenwirkung der entwickelten Angebote verstärkt werden.
Im Fördervorhaben HITSSSE wurde untersucht, wie die IT-Sicherheit von KMUs durch sichere Softwareentwicklung gesteigert werden kann. Wenn vorhandene Sicherheitstools einfach einsetzbar sind und verwertbare Ergebnisse liefern, steigt die Sicherheit der damit entwickelten Produkte. Durch die Bereitstellung von klaren Leitfäden und Handlungsempfehlungen können effiziente, agile Entwicklungsprozesse etabliert werden, die das Prinzip „Security-by-Design“ von Anfang an berücksichtigen. So kann ein nachhaltiger Effekt zugunsten einer erhöhten Sicherheit von Produkten deutscher KMUs erzielt werden.
Die effiziente Umsetzung des Projektes HITSSSE wird durch die Kooperation des Instituts für Innovative Sicherheit (THA_innos) und des Innovationslabors der Hochschule Augsburg (THA_ias) ermöglicht. Über die Laufzeit von drei Jahren analysierten und optimierten die Partner die Entwicklung sicherer Software aus drei Perspektiven.
Das Forschungsvorhaben fokussiert sich auf drei Bereiche der Softwareentwicklung:
- Softwareentwicklung für Applikations- und Server-Software, wie sie in vielen Firma zu eigenen Zwecken betrieben wird
- Softwareentwicklung für eingebettete Systeme, z.B. für Software auf industriellen Geräten, aber auch diverse Geräte des Internets der Dinge
- Usability und Faktor Mensch als Enabler für sichere Softwareentwicklung
Um konkrete Empfehlungen für sichere Prozesse bzw. die genutzten Tools erstellen zu können, wurden KMUs als assoziierte Partner hinzugezogen, analysiert und die erarbeiteten Lösungen dort pilotiert. Ihre direkte Einbindung ist unerlässlich und trug zur Akzeptanz der entwickelten Ansätze bei.
Security Annotation – Sicherheitssensiblen Code Kennzeichnen
Für Unternehmen alle Größen sind Daten über Prozesse, Personen oder Systeme wichtige Werte und damit schützenswerte Güter (engl. Assets). Werden solche Daten manipuliert oder geraten in falsche Hände, kann dies die Wirtschaftlichkeit und Arbeitsfähigkeit eines Unternehmens beeinträchtigen. Deshalb wurde die Security Annotation entwickelt, um KMU den Einstieg in die IT-Sicherheit zu erleichtern. Mit diesem Konzept ist es möglich, sicherheitssensiblen Quellcode dauerhaft zu kennzeichnen und den Assets sowie potenziellen Schwachstellen zuzuordnen. Die Annotationen sowie die verlinkten Zusatzinformationen werden Commit-spezifi sch gespeichert. Dadurch wird eine auf den Sicherheitsstatus der gesamten Codebasis abgestimmte Dokumentation erzeugt. Diese Dokumentation ist sowohl für Entwickler als auch Projektmanager relevant, um die Softwareentwicklung mit dem Risikomanagement zu verbinden
Security Adventure - der Faktor Mensch
Ein großer Teil der Angriffe auf IT-Infrastrukturen ist auf den Faktor Mensch zurückzuführen. Phishing-Mails, Tailgating, CEO-Fraud, Baiting – diese und viele weitere Methoden machen sich die Schwachstelle „Mensch“ zu Nutze und können Angreifern den Zugang zu sensiblen Daten und Systemen ermöglichen. Verhindern lassen sich solche Angriffe mit der Arbeit am Menschen. Unternehmen sollten sie für Bedrohungen sensibilisieren und Akzeptanz für Sicherheitsmaßnahmen schaffen.
Um Unternehmen hierbei zu unterstützen, entwickelte Projekt HITSSSE ein Videospiel, das die Spielenden durch verschiedene sicherheitsrelevante Herausforderungen im Arbeitsalltag führt. Dabei hat es zwei Funktionen. Zum einen baut das Security Adventure Wissen auf, indem es spielerisch konkrete Themen aus dem breiten Feld der IT-Security Awareness oder der sicheren Softwareentwicklung aufarbeitet. Zum anderen soll so die Bereitschaft der Mitarbeitenden steigern, sich mit dem Thema IT-Sicherheit zu beschäftigen
Das Spiel kann auf einem normalen PC betrieben werden. Zudem wird das Security Adventure auch in Form eines klassischen Spielautomaten angeboten. Gepaart mit dem Pixel-Look des Spiels, spricht dies sowohl die Nostalgie der Mitarbeitenden an und minimiert zugleich die Einstiegshürden
CI-IN-A-BOX – VOLLSTÄNDIG GEKAPSELTE CI/CD INFRASTRUKTUR
Beim Versuch CI/CD Pipeline-Tools in die interne Infrastruktur einzubinden kann es oft zu Problemen kommen. Schuld sind häufig Konfigurationsprobleme, besonders wenn Embedded Hardware verwendet wird. Um diese Störungen zu verhindern, bietet die CI-in-a-Box eine vollständig gekapselte CI/CD Infrastruktur. Hiermit erhalten Softwareentwickler:innen eine sichere Plattform, um automatisierte CI/CD Pipeline Prozesse auszuprobieren und kennenzulernen. Bei der Infrastruktur wird Wert auf Flexibilität, Reproduzierbarkeit und Robustheit gelegt. Deshalb ist die CI-in-a-Box kompakt und mobil – und damit flexibel und nach Bedarf einsetzbar. Zudem ist die zu nutzende Softwareumgebung mit einem Klick installierbar und ebenso einfach zurückgesetzt werden. Durch eine vorgeschaltete OPNsense wird ein internes Netzwerk errichtet. So kann die CI-in-a-Box separiert vom Unternehmensnetzwerk betrieben werden. Für den einfachen Zugang zur CI-in-a-Box und der CI/CD Prozesse werden Beispielprojekte schwerpunktmäßig für den Embedded-Bereich bereitgestellt, die die Verwendung und Integration der Plattform unterstützen.
Ansprechpartner:innen
Telefon: | +49 821 5586-3328 |
Telefon: | +49 821 5586-3512 |