Apps von Grund auf sicher entwicklen

Forschungsprojekt AppSecure.nrw

Motivation und Problemstellung

Aufgrund der zunehmenden Digitalisierung nimmt das Thema der Angriffssicherheit eine immer wichtigere Rolle für die softwareentwickelnden Unternehmen als auch deren Kunden innerhalb NRWs ein. Beispielsweise verpflichtet die ab Mai 2018 gültige EU-Datenschutzgrundverordnung Unternehmen alle personenbezogenen Daten entsprechend zu schützen, z.B. durch eine passende Verschlüsselung, und definiert bei nicht korrekter Umsetzung signifikante finanzielle Sanktionen.

Für Unternehmen ist die Gewährleistung von IT-Sicherheit jedoch eine vielschichtige Herausforderung. Den Entwicklern fehlt es häufig an Werkzeugen, Methoden und an Security-Kompetenz, um effizient sicher entwickeln zu können. Externe Einflüsse wie z.B. Zeitdruck, geringes Budget sowie eine fehlende Sensibilisierung aller am Prozess beteiligten Personen verschärfen das Problem zusätzlich.

Zwei Personen an einem Computer mit Codierungs-Dokumenten.
© REDPIXEL / Adobe Stock
AppSecure.nrw - Schulungen, Werkzeuge & Prozesse für eine sichere App Entwicklung.

Projektziele und Lösungsansatz

Ziel des Projektes AppSecure.nrw ist es, ein Instrumentarium für die sichere Softwareentwicklung zu erarbeiten und in der Praxis zu evaluieren. Dabei sollen die Vorarbeiten und Forschungsergebnisse aus der Wissenschaft so weiterentwickelt und aufbereitet werden, dass Softwareentwicklerinnen und -entwickler sie direkt und unkompliziert selbst einsetzen können. Der Fokus des Projekts liegt hierbei auf mobile und webbasierte Anwendungen.

Um Applikationen von der Konzeption bis in den Betrieb hinein sicher zu gestalten, erarbeitet das Projektteam einen sogenannten Secure Development Lifecycle (SDLC). Dieser berücksichtigt unter anderem wichtige Fragen wie die Verarbeitung und Verwaltung sicherheitskritischer Daten. Zusätzlich werden Codeanalyse-Werkzeuge in den SDLC integriert, mit denen zum Beispiel Programmierfehler ähnlich wie bei einer Rechtschreibprüfung bereits in der Entwicklung entdeckt und behoben werden können. Die Ergebnisse von AppSecure.nrw werden von drei Anwendungspartnern in der Praxis erprobt und sollen nach Projektende auch für andere Unternehmen anwendbar sein. Für die Weiterbildung und den Erfahrungsaustausch organisiert das Projektteam gezielte Schulungen und Netzwerkveranstaltungen.

In den nächsten Monaten erstellen die Projektpartner zunächst eine Studie zur IT-Sicherheit in softwareentwickelnden Unternehmen aus Deutschland, Österreich und der Schweiz. Sie sammeln damit wichtige Informationen zur aktuellen Situation und Bedarfen, die in das Projekt einfließen. Die Studie wird Ende 2019 vorgestellt und dann frei verfügbar sein.

Projektergebnisse

 

Studie: Software Security

 

Video: Apps sicher entwickeln - als Developer

 

Video: Apps sicher entwickeln - als Product Owner

Projektsteckbrief

Projekttitel

Security-by-Design von Java-basierten Applikationen

Laufzeit

01/2019 bis 12/2021

Förderung

Europäischen Fonds für regionale Entwicklung (EFRE.NRW)

FörderVolumen

1,5 Mio.€

Kooperationspartner
  • adesso mobile solutions GmbH
  • Axa Konzern AG
  • Connext Communication GmbH
  • Fraunhofer IEM
ProjektLeiter

Prof. Dr. Eric Bodden

Ziele
  • Sensibilisierung für das Thema Security in der Softwareentwicklung
  • Methoden & Werkzeugen weiterentwickeln und in der Praxis evaluieren
  • Schulungen & Weiterbildungen erarbeiten und praktisch evaluieren

Förderhinweise

Das Forschungsprojekt AppSecure.nrw wird aktuell von Partnern aus NRW und durch die Initiative EFRE unterstützt.

Der Europäische Fonds für regionale Entwicklung und die Kohäsionspolitik fördern die Umsetzung der Europa 2020 Strategie für intelligentes, nachhaltiges und integratives Wachstum. Zentrale Aspekte der Strategie sind die Erhöhung von Wohlstand und Produktivität. Damit verbunden sind Forschung und Innovation, die Erhöhung der Wettbewerbsfähigkeit von KMU, die Förderung von Bildung und Ausbildung, die Reduzierung der Armut sowie die Bekämpfung des Klimawandels und der Energieabhängigkeit.

Das Thema ist auch für Sie interessant? Dann kontaktieren Sie uns gerne!

Eric Bodden

Contact Press / Media

Prof. Dr. Eric Bodden

Direktor Forschungsbereich Softwaretechnik und IT-Sicherheit

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-150

Matthias Becker

Contact Press / Media

Dr. Matthias Becker

Abteilungsleiter Sichere Services & Apps

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-158

Stefan Dziwok

Contact Press / Media

Dr. rer. nat. Stefan Dziwok

Senior Researcher

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465155