Fraunhofer Academy: Hallo Stefan, du bist am IEM unser Experte für sichere Softwareentwicklung und federführend im Projekt AppSecure.nrw aktiv. Was ist Ziel des Projekts und wie ist der derzeitige Stand?  

Stefan: Wir haben uns in AppSecure.nrw das Ziel gesetzt, dass Softwareanwendungen von Grund auf sicher entwickelt werden können. Hierfür beschäftigen wir uns mit der Sensibilisierung aller an der Entwicklung beteiligten Personen, mit Methoden und Werkzeugen sowie mit Security-Schulungen. Um praxistaugliche Lösungen zu finden sind mit adesso mobile solutions GmbH, AXA Konzern AG und Connext Communication GmbH drei Kooperationspartner im Projekt beteiligt, die tagtäglich vor die Herausforderung gestellt sind, sichere Software zu entwickeln. Wir profitieren dabei stark von ihrer praktischen Erfahrung und können mit ihnen gemeinsam unsere Konzepte, Werkzeuge und Schulungen erproben.

Fraunhofer Academy: Im Projekt habt ihr euch in einer Studie mit dem Status Quo der sicheren Softwareentwicklung in Unternehmen auseinandergesetzt. Was waren für dich die wesentlichen Erkenntnisse?  

Stefan: In unserer Studie haben wir sowohl Softwareentwickler*innen, als auch Führungskräfte und Product Owner befragt. In unserer Auswertung zeigte sich, dass für Unternehmen die IT-Sicherheit in Softwareprodukten eine vielschichtige Herausforderung darstellt und gleichzeitig dringender Handlungsbedarf besteht. Primär mangelt es an der Sensibilisierung und den erforderlichen Kompetenzen im Bereich der Angriffssicherheit und bezüglich der Methoden zur sicheren Softwareentwicklung. Darüber hinaus wurde deutlich, dass Product Owner nur geringe bis keine Security-Anforderungen an das zu entwickelnde Produkt stellen und Führungskräfte nur selten Maßnahmen zum Ausbau der Security-Kompetenzen durchführen. Somit besteht für viele Unternehmen die Gefahr, dass ihre Produkte nicht ausreichend vor böswilligen Angriffen geschützt sind.

Fraunhofer Academy: Was empfiehlst du Softwareentwicklerinnen und Softwareentwicklern, die sichere Software entwickeln wollen? Wie kann das Fraunhofer IEM dabei unterstützen?   

Stefan: In unserer Studie haben wir für unsere drei Zielgruppen Entwickler*innen, Product Owner und Führungskräfte jeweils spezifische Empfehlungen zur Verbesserung des Status Quo gegeben. Beispielsweise empfehlen wir den Product Ownern, dass sie u.a. Security von ihrem Team während des Plannings, des Reviews und der Retroperspektive aktiv einfordern sollen. Entwickler*innen raten wir z.B., dass sie nicht nur Fachwissen aufbauen, sondern dieses auch im Team verbreiten sollten. Damit steigt das Verantwortungsbewusstsein für Security insgesamt und Entwickler*innen müssen nicht länger als Einzelkämpfer*in innerhalb ihres Teams agieren.

Wir vom Fraunhofer IEM können vielschichtig dabei unterstützen, dass Unternehmen die Security ihrer Software gewährleisten können. Zum einen bieten wir Security-Trainings für alle Beteiligten an, um eine Sensibilisierung und den nötigen Kompetenzaufbau zu erreichen – hierbei empfehlen wir die Trainings auf die Anforderungen und Bedürfnisse des jeweiligen Unternehmens anzupassen. Mit unserem Security Champion Training z.B. erhalten Entwickler*innen ein umfassendes Know-How und lernen das Thema Security im Entwicklungsprozess systematisch zu verankern.