BSIMM: Ein Fahrplan in Richtung Softwaresicherheit

Das Building Security In Maturity-Modell ist ein Studiendesign zu real existierenden Software Security Initiatives, kurz SSIs [1]. Hier werden die Praktiken vieler verschiedener Unternehmen quantifiziert und hinsichtlich von Gemeinsamkeiten sowie individuellen Variationen beschrieben. Dadurch liefert der Bericht quasi ein Spiegelbild der Softwaresicherheit von Unternehmen rund um den Globus.

 

Die Ergebnisse sind zwar besonders relevant für Unternehmen, die Softwarekomponenten entwickeln oder zusammenstellen, aber im Grunde ist jeder, der heute unternehmerisch tätig ist, auch ein Softwareunternehmen. Software, um ein Unternehmen zu führen, ein Produkt zu vermarkten und sehr wahrscheinlich auch, um das Produkt zu entwickeln. Software ist in allen Abteilungen unverzichtbar geworden. Software ist zudem die Grundlage für die meisten Geräte und Dienste, mit denen wir uns alltäglich umgeben. Einschließlich der Geräte im Internet of Things (IoT) und dem Internet of Everything (IoE). All diese Geräte, Systeme und Netzwerke funktionieren (oder versagen) aufgrund von Software. Wie wir alle wissen, ist Software nicht perfekt und Cyberkriminelle nutzen Konfigurations- und Designfehler, Bugs und andere Schwachstellen weidlich aus. Angesichts der potenziell schwerwiegenden Auswirkungen ist Softwaresicherheit entscheidend für das, was wir heute im modernen Leben als selbstverständlich ansehen, sowohl individuell als auch kollektiv.

BSIMM wurde erstmals 2009 veröffentlicht. Ziel war es, Unternehmen dabei zu unterstützen, Sicherheit innerhalb des gesamten Software-Entwicklungslebenszyklus (SDLC) zu integrieren und nicht erst am Ende dieses Prozesses. Was deutlich mehr Zeit und Geld kostet. Genau das macht BSIMM relevant. Das Modell dokumentiert, was Unternehmen genau jetzt tun – und wieviel Zeit und Geld sie in Initiativen zur Softwaresicherheit investieren. Dabei basiert BSIMM11 auf SSIs von 130 teilnehmenden Unternehmen, in primär 9 Branchen: Cloud, IoT, unabhängige Softwareanbieter, Hochtechnologie, Gesundheitswesen, Versicherungen, Finanzdienstleistungen, FinTech und Einzelhandel. Der diesjährige Bericht verfolgt 121 separate Aktivitäten zur Softwaresicherheit. Sind in 12 Praktiken gruppiert, die wiederum in 4 Bereiche sortiert sind: Governance, Intelligenz, sicherer Software-Entwicklungszyklus (SSDL) und Bereitstellung. Daraus geht hervor, was die teilnehmenden Unternehmen genau tun und welche Tools sie verwenden. Vielleicht noch wichtiger ist die Tatsache, dass BSIMM zeigt, wie häufig jede Aktivität im aktuellen Datenpool auftaucht. Das wiederum ist für andere Branchenteilnehmer in anderen Bereichen hilfreich.

Zu den wichtigsten Erkenntnissen des diesjährigen Berichts zählen die teilweise erheblichen Verschiebungen bei den Softwaresicherheitsinitiativen:

 

Aus »Shift Left« wird »Shift Everywhere« 

In den ersten BSIMM-Ausgaben wurde vielfach das Shift-Left-Konzept, also das Verschieben der Sicherheit nach links, so früh wie möglich im SDLC, beschrieben. Der Begriff wurde schnell zu einem Mantra für Anbieter und dominierte Präsentationen, Vorträge und Podiumsdiskussionen. Man sollte das Konzept allerdings nicht auf Shift Left einengen. Vielmehr geht es um »Shift Everywhere«. Also darum, eine Aktivität so schnell wie möglich und mit höchster Genauigkeit durchzuführen, sobald die Artefakte verfügbar sind, von denen diese Aktivität abhängt. Manchmal ist das links der laufenden Aktivitäten, aber oft ist es rechts, vielleicht sogar gänzlich innerhalb der Produktion.

 

Engineering fordert mehr Tempo bei der Sicherheit

In vielen Fällen sind Entwicklungsteams mittlerweile für einen Großteil der Softwaresicherheitsmaßnahmen zuständig. Mit Mitarbeitern, die für CloudSec, ContainerSec, DeploymentSec, ConfigSec, SecTools, OpsSec usw. verantwortlich sind. Das führt zu eher durchwachsenen Ergebnissen. Solche Teams sind agil und dadurch schnell. Das ist gut. Für das Management geht das nicht selten zu schnell. Jedenfalls, wenn man die Auswirkungen auf das Unternehmensrisiko verlässlich bewerten will. Das ist weniger gut. Derzeit haben nur wenige Unternehmen zentralisierte Sicherheitsmaßnahmen für Governance- und Engineering-Software vollständig zu einem zusammenhängenden, nachvollziehbaren und vertretbaren Risikomanagementprogramm harmonisiert. Trotzdem hat die Geschwindigkeit, mit der Engineering-Teams Features entwickeln und integrieren, Priorität. Sicherheitstest-Tools, die synchron und unsichtbar in ihren Toolketten laufen, und das sogar kostenlos und als Open Source, haben heute wahrscheinlich einen höheren Wert als gründlichere kommerzielle Tools. Die verursachen mehr Reibungspunkte als Nutzen erzeugen oder zumindest scheint das so zu sein.

Die Botschaft: Wir hätten gerne (mehr) Sicherheit in unseren Wertströmen – wenn sie uns nicht ausbremst.

In einigen Unternehmen wird Sicherheit zu einem Teil der Qualität, die wiederum von Zuverlässigkeit und diese zu Resilienz. Und die wird dadurch für viele Engineering-Teams zum operativen Ziel. Sicherheitsverantwortliche, die nur »Pen-Tests und Patchen« kennen, werden vermutlich von Engineering-Teams, die sich weiterentwickelt haben, aus dem Wertstrom »gepatcht« werden.

 

Strukturelle Sicherheit 

Sicherheitsbefürworter aus den eigenen Reihen oder Entwicklungsteams arbeiten auf einem eher persönlichen Level zusammen. »Champions« in ihrem Metier bringen Sicherheits-Know-how direkt in Code in Form von Toolchain-Sensoren ein. Darüber ermitteln sie, ob die Erwartungen an die Software eingehalten werden (etwa Bibliotheksnutzung, Beheben bestimmter Defekte, Codierungsstandards), welche genehmigten Konfigurationen und Konfigurationsprüfungen (etwa für Container) existieren und welche wiederverwendbaren Sicherheitsbibliotheken und so weiter. Sie schaffen sozusagen »strukturelle« Sicherheit. Wenn Entwickler ihren Code in einer sicheren Struktur schreiben, erstellen sie auch sicherere Software.

 

Die Cloud: Verantwortung teilen 

Die Vorteile eines Wechsels in die Cloud werden stark propagiert und sind gut dokumentiert. Sie effektiv zu nutzen bedeutet aber auch, dass zumindest Teile der Sicherheitsarchitektur, der Bereitstellung von Funktionen und andere Bereiche der Softwaresicherheitspraxis, die traditionell lokal passieren, an den Cloud-Anbieter ausgelagert werden. Cloud-Anbieter sind zu 100 % für die Bereitstellung von Sicherheitssoftware verantwortlich, aber die Unternehmen sind zu 100 % für die Softwaresicherheit verantwortlich. Unternehmen, die Softwaresicherheit in privaten Rechenzentren unzureichend umgesetzt haben, werden das in der Cloud kaum besser machen.

 

Digitale Transformation: Jeder tut es

Die digitale Transformation schreitet auf allen Ebenen voran. In der Realität ist Softwaresicherheit ein Schlüsselelement auf jeder Unternehmensebene. Auf der Executive-(SSI)-Ebene sollte ein Unternehmen Technologie-Stacks, Prozesse und Mitarbeiter zu einer »Automated First«-Strategie führen. Auf SSG-Level sollte ein Team die analoge Bringschuld senken, Dokumente und Tabellen durch Governance in Code-Form ersetzen. Auf der Engineering-Ebene sollte die Intelligenz in Tools, Toolchains, Umgebungen, Software und überall sonst integriert werden.

 

Sicherheit: Wird einfacher – und schwieriger zugleich

Grundlegende Softwaresicherheitsaktivitäten werden gleichzeitig einfacher und schwieriger. Das Softwareinventar war früher gemeinhin eine Excel-Tabelle mit Anwendungsnamen. Es wurde dann zu einer (meist veralteten) Datenbank für das Konfigurationsmanagement. Heute müssen Unternehmen Anwendungen, APIs, Mikro-Services, Open Source, Container, Glue-Code, Orchestrierungscode, Konfigurationen, Quellcode, Binärcode, laufenden Anwendungen und so weiter inventarisieren. Automatisierung hilft dabei, aber es gibt eine enorme Anzahl beweglicher Teile. Die Bedrohungsmodellierung wird tatsächlich einfacher (zu bündeln) und schwieriger zugleich (nämlich zu wissen, wann was zu tun ist). Das Patchen wird in einigen Fällen einfacher (ein Container gegenüber 100 Anwendungen) und in anderen Fällen schwieriger (zu wissen, wo CI/CD-Toolchains, Glue-Code, eigen-entwickelte Tools und so weiter vorliegen).

 

Fazit

Es gibt noch viele weitere Branchentrends, die unsere Aufmerksamkeit verdienen. Insbesondere das aktuelle politische Klima hat weltweit zu nachhaltigen Veränderungen im Softwaresicherheitsprozess, bei der Technologie und den vorgehaltenen Ressourcen geführt. In erster Linie hat sich die Prozessautomatisierung beschleunigt, der Einsatz intelligenter Sensoren, aber auch die Einsicht, welche Sicherheitstests innerhalb eines Lieferlebenszyklus überhaupt durchgeführt werden können und welche nicht.

BSIMM11 hilft Firmen nicht nur zu Beginn ihrer Softwaresicherheitsinitiativen, sondern bietet zusätzlich die Möglichkeit, den Reifegrad der SSI zu bewerten. Die Spanne reicht von »in der Entstehung« oder gerade erst am Anfang, über »reifend«, d.h. in Betrieb, einschließlich einiger Unterstützung und Erwartungen seitens der Geschäftsführung, bis hin zu »optimierend«. Damit sind Unternehmen gemeint, die vorhandene Sicherheitskapazitäten fein justieren, um die eigene Risikobereitschaft mit den notwendigen Investitionen auszubalancieren.

Wo immer ein Unternehmen sich auf dieser Reise befindet, BSIMM liefert einen Fahrplan, um die gesetzten Ziele zu erreichen.

Boris Cipot, Senior Software Engineer bei Synopsys

 

[1] https://www.bsimm.com/download.html

 

8 Artikel zu „BSIMM“

Remote Learning und Remote Working: Chancen und Risiken für die App-Sicherheit

Illustration: Geralt Absmeier Covid-19 hat viele von uns gezwungen, sich sehr schnell mit neuen Realitäten auseinanderzusetzen. Dazu gehören Remote Learning und Remote Working. Kinder und Erwachsene, Eltern und Lehrer sowie ein großer Teil der Erwerbstätigen sind betroffen. Mobile Apps und Webanwendungen wurden vor der Corona-Krise in erster Linie im geschäftlichen Umfeld oder im Freizeitbereich eingesetzt.…

Nachhaltiger Erfolg: Drei Vorteile einer smarten digitalen Transformation

2020 stellt sowohl die Gesellschaft als auch die Wirtschaft vor zahlreiche Herausforderungen. Unternehmen haben dadurch realisiert: Die digitale Transformation passiert nicht von alleine. Nur wer jetzt schon nachhaltig an die Zukunft denkt, kann den kommenden Herausforderungen einen Schritt voraus sein. Joe Garber, Vice President of Strategy and Solutions bei Micro Focus, zeigt drei Vorteile einer…

Was sind die größten Einstiegshürden bei der Digitalisierung?

Google, Amazon und Apple haben es vorgemacht: Die Digitalisierung von Betrieben und Wertschöpfungsketten ist das Geschäftsmodell der Zukunft. Auch in Deutschland sind sich große wie kleine Betriebe darüber einig, dass es digitale Transformation braucht – vor allem die Corona-Krise hat das noch einmal deutlich gezeigt. Und doch geht der Umstieg in vielen Branchen nicht immer…

Rückkehr ins Büro: TÜV SÜD gibt Tipps zur IT-Sicherheit

Das Arbeiten im Home-Office während der Corona-Pandemie hat die Angriffsfläche für Cyberkriminelle spürbar vergrößert. Doch auch der Wechsel vom Home-Office zurück ins Büro bringt einige Risiken für die IT-Sicherheit mit sich. Die Experten von TÜV SÜD Sec-IT geben einen Überblick zu den wichtigsten Regeln für die IT-Sicherheit. »Grundsätzlich besteht die größte Gefahr darin, dass sich…

Whitepaper: Reifegradmodelle für die unternehmensinterne Cybersicherheit 

  Die Beratungsboutique für Cybersicherheit carmasec veröffentlicht im Rahmen des European Cyber Security Month mit dem Whitepaper Reifegradmodelle für die Cybersicherheit Ihres Unternehmens eine auf die Anforderungen des deutschen Raumes angepasste Methodik zur Bewertung und Optimierung unternehmensinterner Security-Prozesse. Mit Hilfe eines Reifegradmodells können Unternehmen eine bessere Handlungs-, Planungs- und Budgetsicherheit erreichen und sich auf zukünftige…

Digitale Transformationsprojekte scheitern meist an kulturellen Fragen oder schlechter Beratung durch den Anbieter

  Die Geschäftsethik ist bei der Auswahl eines Technologie-Anbieters für deutsche Unternehmen genauso wichtig wie die eigentliche Technologie. 35 Prozent der Unternehmen nennen eine mangelhafte Beratung durch den Anbieter als den entscheidenden Grund, warum ein digitales Transformationsprojekt fehlschlägt. Fast ein Viertel der befragten Entscheider wurde von der Geschäftsführung angehalten, einen Anbieter nur aufgrund dessen Bekanntheit…

AppSec: Softwaresicherheit als Reaktion auf DevOps und digitale Transformation

Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen.   Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen…

 

 

22 Artikel zu „Shift-Left „

DevOps und der »Shift-Left -Trend in drei Schritten

Wir leben in einer agilen Zeit. Das heißt unter anderem, dass Produkte immer schneller und dabei in immer besserer Qualität zur Verfügung stehen müssen. Konventionelle Entwicklungsmodelle sind für die Anforderungen des digitalen Zeitalters ungeeignet. Sie werden nach und nach von DevOps-Konzepten abgelöst, die sich durch zahlreiche Prozessoptimierungen auszeichnen.   Bei der Softwareentwicklung ist dabei ein…

Mainframe-Umfrage 2020: Anpassen, Automatisieren und Sicherheit haben höchste Priorität

IBM Z ist entscheidend für den digitalen Erfolg. BMC hat die Ergebnisse des 15th Annual Mainframe Survey veröffentlicht. Sie zeigen eine starke Zustimmung für die Mainframe-Modernisierung, neue strategische Prioritäten und ein Erstarken der nächsten Generation von Mainframe-Talenten. Als größte Umfrage ihrer Art interviewt der jährliche Mainframe Survey über tausend Führungskräfte und Mainframe-Experten zu ihren Prioritäten,…

Remote Learning und Remote Working: Chancen und Risiken für die App-Sicherheit

Illustration: Geralt Absmeier Covid-19 hat viele von uns gezwungen, sich sehr schnell mit neuen Realitäten auseinanderzusetzen. Dazu gehören Remote Learning und Remote Working. Kinder und Erwachsene, Eltern und Lehrer sowie ein großer Teil der Erwerbstätigen sind betroffen. Mobile Apps und Webanwendungen wurden vor der Corona-Krise in erster Linie im geschäftlichen Umfeld oder im Freizeitbereich eingesetzt.…

Nachhaltiger Erfolg: Drei Vorteile einer smarten digitalen Transformation

2020 stellt sowohl die Gesellschaft als auch die Wirtschaft vor zahlreiche Herausforderungen. Unternehmen haben dadurch realisiert: Die digitale Transformation passiert nicht von alleine. Nur wer jetzt schon nachhaltig an die Zukunft denkt, kann den kommenden Herausforderungen einen Schritt voraus sein. Joe Garber, Vice President of Strategy and Solutions bei Micro Focus, zeigt drei Vorteile einer…

Was sind die größten Einstiegshürden bei der Digitalisierung?

Google, Amazon und Apple haben es vorgemacht: Die Digitalisierung von Betrieben und Wertschöpfungsketten ist das Geschäftsmodell der Zukunft. Auch in Deutschland sind sich große wie kleine Betriebe darüber einig, dass es digitale Transformation braucht – vor allem die Corona-Krise hat das noch einmal deutlich gezeigt. Und doch geht der Umstieg in vielen Branchen nicht immer…

Automatisierung: mehr Effizienz in der IT und beim Thema Sicherheit

Im Zuge der IT-Automatisierung werden manuelle Prozesse, für die bisher menschliches Eingreifen notwendig war, automatisiert. Dabei geht es um wiederholbare Prozesse, Aufgaben oder Richtlinien. Begonnen hat die IT-Automatisierung mit vergleichsweise simplen Tools, entwickelt von IT-Administratoren für den eigenen Gebrauch. Ziel war es, ein und dieselben wiederkehrenden Aufgaben mithilfe dieser Tools schneller und effizienter zu erledigen.…

Rückkehr ins Büro: TÜV SÜD gibt Tipps zur IT-Sicherheit

Das Arbeiten im Home-Office während der Corona-Pandemie hat die Angriffsfläche für Cyberkriminelle spürbar vergrößert. Doch auch der Wechsel vom Home-Office zurück ins Büro bringt einige Risiken für die IT-Sicherheit mit sich. Die Experten von TÜV SÜD Sec-IT geben einen Überblick zu den wichtigsten Regeln für die IT-Sicherheit. »Grundsätzlich besteht die größte Gefahr darin, dass sich…

Whitepaper: Reifegradmodelle für die unternehmensinterne Cybersicherheit 

  Die Beratungsboutique für Cybersicherheit carmasec veröffentlicht im Rahmen des European Cyber Security Month mit dem Whitepaper Reifegradmodelle für die Cybersicherheit Ihres Unternehmens eine auf die Anforderungen des deutschen Raumes angepasste Methodik zur Bewertung und Optimierung unternehmensinterner Security-Prozesse. Mit Hilfe eines Reifegradmodells können Unternehmen eine bessere Handlungs-, Planungs- und Budgetsicherheit erreichen und sich auf zukünftige…

Unternehmen setzen auf Automatisierung zum Schutz vor Pandemie-Auswirkungen

Die intelligente Automatisierung wird eine entscheidende Rolle bei der Gestaltung einer neuen, technologiegestützten Arbeitswelt in der postpandemischen Zeit einnehmen.   Im Rahmen einer Studie, die das Marktforschungs- und Beratungsunternehmen Savanta im Auftrag von Pegasystems durchgeführt hat, wurden über 3.000 Führungskräfte weltweit in elf Ländern – darunter Deutschland – zur zukünftigen Bedeutung der Technologie befragt. Einerseits…

Digitale Transformationsprojekte scheitern meist an kulturellen Fragen oder schlechter Beratung durch den Anbieter

  Die Geschäftsethik ist bei der Auswahl eines Technologie-Anbieters für deutsche Unternehmen genauso wichtig wie die eigentliche Technologie. 35 Prozent der Unternehmen nennen eine mangelhafte Beratung durch den Anbieter als den entscheidenden Grund, warum ein digitales Transformationsprojekt fehlschlägt. Fast ein Viertel der befragten Entscheider wurde von der Geschäftsführung angehalten, einen Anbieter nur aufgrund dessen Bekanntheit…

AppSec: Softwaresicherheit als Reaktion auf DevOps und digitale Transformation

Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen.   Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen…

5 wichtige Schritte auf dem Weg zu DevOps

  Um die Business Transformation eines Unternehmens erfolgreich umzusetzen, benötigt man bei der Implementierung eine agile IT, die auf Basis eines DevOps-Modells arbeitet. Zu diesem Ergebnis kommt eine aktuelle IDC-Studie, die vom IT-Dienstleister Consol unterstützt wurde. Auf dem Weg dahin sollten Unternehmen allerdings einige Schritte beachten.   Die Nutzung von DevOps setzt sich durch –…

Wie wirkt sich CI/CD auf die Geschäftstätigkeit von Unternehmen aus?

Eine gute CI/CD-Strategie generiert Umsatz und hält Entwickler bei Laune. Durch Continuous Integration (CI) und Continuous Delivery (CD) können DevOps-Teams Software mit höherer Qualität schneller ausliefern. Aber sind alle CI/CD-Strategien gleich? Wie sieht eine erfolgreiche CI/CD-Implementierung aus und wie können Unternehmen sicherstellen, dass sie auf dem richtigen Weg sind?   Auf der Suche nach Antworten,…

Container: Entwickler setzen auf weniger Komplexität

Mit zunehmender Komplexität der Unternehmens-IT und Cloud-Umgebung nehmen Entwickler die Entwicklungsstrategien immer öfter in die eigene Hand. »Mehr Abstraktion und weniger Komplexität«, so lautet das Motto, wie die Ergebnisse der jüngsten »Global Perception Study« der Cloud Foundry Foundation zeigen [1].   Immer mehr Großunternehmen (60 Prozent) berichten, dass sie ihre IT-Infrastruktur in einer zunehmend komplexeren…

Das Wasserfallmodell kann zu absurden Prozessen führen

Agile Entwicklungsmethoden zeichnen sich unter anderem durch die hohe Eigenverantwortung aus, die den beteiligten Personen zugestanden wird. Ganz anders dagegen bei der Softwareentwicklung nach dem Wasserfallmodell. Sie ist stark hierarchisch geprägt ist und zwingt die Beteiligten, sich ständig abzustimmen und rückzuversichern. Das führt dazu, dass selbst kleinste Probleme zu aufgeblähten Prozessen ausufern. Der auf Software…

Cyberrisiken durch mangelnde IT-Security bei DevOps

Silos in der Unternehmens-IT führen zu unnötigen Sicherheitsrisiken. Die mangelnde Beteiligung der IT-Security an DevOps-Projekten führt laut einer Umfrage für 62 % der IT-Führungskräfte in Deutschland zu einem erhöhten Cyberrisiko.   Um die DevOps-Kultur besser zu verstehen, beauftragte der japanische IT-Sicherheitsanbieter Trend Micro das unabhängige Marktforschungsunternehmen Vanson Bourne damit, 1.310 IT-Entscheider in KMUs und Großunternehmen…

Autonome DevOps als Schlüssel zum Unternehmenserfolg

Welche technischen Voraussetzungen sind für das erfolgreiche Arbeiten weitgehend selbstständiger Entwicklerteams erforderlich? Marktbedingungen verändern sich durch die Digitalisierung rasant. Auch wenn die Disruption in manchen Branchen noch nicht völlig gegriffen hat, werden Unternehmen in diesen Sektoren aber oft durch die Erwartungshaltung ihrer Kunden dazu gezwungen, sich der Digitalisierung und ihren disruptiven Momenten zu stellen. In…