Sicherheit im Fokus: Ein Blick hinter das Brainloop Security-Konzept

Von Dr. Antoine Scemama am 29. November 2018

Mann späht anderem Mann über die Schulter in dessen Smartphone-Bildschirm

Brainloop Lösungen sorgen für eine effiziente, digitale und sichere Zusammenarbeit. Egal, ob es sich um schützenswerte Informationen im Tagesgeschäft, hochsicherheitsrelevante Prozesse in der Vorstands- und Aufsichtsratskommunikation oder streng vertrauliche M&A-Aktivitäten handelt, Sicherheit hat bei der Softwareentwicklung von Brainloop stets die höchste Priorität. Schließlich sehen sich immer mehr Unternehmen Cyberattacken und weiteren Sicherheitsbedrohungen ausgesetzt.

Um potentielle Sicherheitslücken bereits während der Software-Entwicklung zu vermeiden, setzt Brainloop auf den Trustworthy Computing Security Development Lifecycle (kurz SSDLC), ein zuerst von Microsoft veröffentlichtes Konzept zur Entwicklung sicherer Software. Dieses Konzept ist fest in den Scrum-Entwicklungsprozess integriert. Die folgenden Schritte sind für die Umsetzung wichtig:

Phase 1: Anforderungen und Design

In der ersten Phase werden Sicherheits-, Qualitätsanforderungen und Ziele der zu erstellenden Software definiert. Bei Brainloop bekommt jedes Entwicklerteam zu diesem Zweck einen eigenen Sicherheitsexperten – in SSDLC Prozessen auch Security Champion genannt – zur Seite gestellt, der bei der weiteren Planung als Ansprechpartner unterstützt. Er überprüft Pläne, berät hinsichtlich der Sicherheitsmeilensteine, spricht Empfehlungen aus und stellt sicher, dass das Security Team genug Ressourcen einplant, um den Zeitplan des Entwicklerteams zu unterstützen. Falls erforderlich, planen der Security Champion und das Security Team gemeinsam das Design und spielen Bedrohungsmodelle für bestimmte Features durch. Spezifische Sicherheitstests werden ebenfalls abgestimmt.

Phase 2: Implementierung

In der Implementierungsphase programmiert, testet und integriert das Entwicklerteam, das bei Brainloop vor allem aus sehr erfahrenen Teammitgliedern besteht, die Software. Bevor man hier allerdings ein Work-Item implementiert, wird es sicherheitstechnisch noch einmal auf Herz und Nieren geprüft. Ziel ist es, Schwachstellen zu beheben oder zu verhindern, dass Sicherheitslücken entstehen. So wird das Risiko gesenkt, dass diese ihren Weg überhaupt in die finale Version der Software finden. Jeder neue Code wird außerdem nach dem Vieraugenprinzip von einem weiteren Entwickler geprüft, bevor er eingebettet wird. Sicherheitskritische Codes begutachtet zusätzlich der Security Champion oder das Security Team.

Phase 3: Überprüfung

An diesem Punkt verfügt die Software bereits über den vollen Funktionsumfang. Während die Software Betatests durchläuft, prüft das Quality Assurance (QA)-Team die Funktionalitäten erneut und führt letzte Sicherheitstests durch. Scanning Tools wie Veracode analysieren den Softwarecode vor Release außerdem maschinell und weisen gegebenenfalls auf letzte Schwachstellen hin. Die Whitesource-Lösung übernimmt zusätzlich die Analyse von Third-Party-Bibliotheken. Wurden Änderungen an sicherheitsrelevanten Stellen vorgenommen, führt das Security-Team oder der Sicherheitsexperte ein internes Audit durch. Im Einzelfall wird zusätzlich ein externer Pen-Test beauftragt.

On Top: Weitere Maßnahmen

Neben den Phasen in der Softwareentwicklung sind weitere flankierende Maßnahmen für unser Sicherheitskonzept elementar: Ein externes Penetration Testing wird einmal pro Jahr für jede Applikation angeordnet. Ein beauftragter „Hacker“ testet dabei alle Applikationen und Softwarekomponenten auf Lücken und die wichtigsten Angriffsszenarien. Gerade dieser Blick von außen ist für Brainloop von unschätzbarem Wert. In diesem Zusammenhang ist es bestimmt auch interessant zu wissen, dass große Unternehmenskunden die Applikationen ebenfalls selbständig auditieren und testen, um sich ein unabhängiges Bild zu verschaffen.

Und auch darüber hinaus steht das Thema Sicherheit stets im Vordergrund. So hat Brainloop beispielsweise ein sogenanntes Bounty-System ins Leben gerufen. Jeder Mitarbeiter hat hier die Möglichkeit, die Entwicklerteams auf potentielle Sicherheitslücken hinzuweisen und eine Belohnung zu erhalten. Regelmäßige In-House-Schulungen und externe Trainings stellen außerdem sicher, dass Entwickler und Sicherheitsexperten stets auf dem neuesten Stand sind.

So haben Sicherheitsrisiken keine Chance.

Informationssicherheit

Das könnte Sie auch interessieren:

Pen-Tests: Der Blick von außen hat unschätzbaren Wert

Pen-Tests: Der Blick von außen hat unschätzbaren Wert

Weiterlesen
EY-Studie: Aufsichtsräte kommunizieren oft noch unverschlüsselt

EY-Studie: Aufsichtsräte kommunizieren oft noch unverschlüsselt

Weiterlesen
So schützen Biotech-Unternehmen sensible Forschungsdaten

So schützen Biotech-Unternehmen sensible Forschungsdaten

Weiterlesen
Kostenloses Webinar: Tipps für professionelle Gremienbetreuung