Anonymous Anonym

Aus IT-Forensik Wiki

Master Thesis, Hochschule Wismar, Dezember 2020

Autor: Anonymous Anonym

Titel: Integration von IT-Sicherheitsaspekten in die agile Entwicklung von webbasierten Software-Schnittstellen

Abstrakt:

Die IT-Sicherheit gewinnt aufgrund steigender Cyber-Kriminalität fortwährend an Bedeutung. Zeitgleich ist ein Anstieg an, teils öffentlich verfügbaren, Web- Schnittstellen zu verzeichnen, die zunehmend mithilfe agiler Vorgehensmodelle und Methodiken erstellt werden. Dabei liefern die agilen Vorgehensmodelle keine konkreten Ansätze, wie die IT-Sicherheit von Software-Produkten zu gewährleisten ist. Etablierte Sicherheitsstandards und -konzepte basieren weitläufig auf traditionellen, phasenbasierten Vorgehensmodellen.

Im Zuge dieser Ausarbeitung werden daher – auf Basis bestehender Sicherheitsstandards und aktueller Forschungsergebnisse – Maßnahmen hervorgehoben, die agile Entwicklungsteams ergreifen können, um die IT-Sicherheit ihrer Produkte zu forcieren. Hierbei stellt sich insbesondere die Betrachtung der individuellen Bedrohungslage und die Integration hierdurch gewonnener Erkenntnisse in den agilen Prozess als wichtig heraus. Der Wissensaufbau innerhalb des interdisziplinären Entwicklungsteams im Bereich des IT-Sicherheit ist grundlegende Voraussetzung hierfür. Zentrale Bestandteile des agilen Vorgehens – wie hohe Qualitätsansprüche und zügiges Feedback – tragen ihren Anteil zur Gewährleistung der IT-Sicherheit bereits bei. Im Rahmen der Implementierung müssen häufige Fehlerursachen gemieden werden, etwa mittels zweckmäßiger Datenverarbeitung – insbesondere Validierung –, starker Authentifizierung und aussagekräftiger Protokollierung.

Auch agile Vorgehensmodelle sind zur Entwicklung von Software-Produkten mit einem hohemMaß an IT-Sicherheit geeignet, wenn der IT-Sicherheit auf allen Ebenen angemessene Beachtung geschenkt wird.

Abstract:

Due to an increase in cyber crime IT security has gained importance. Concurrently, agile methodologies and web-based applications have become more popular.However agile software development methodologies do not address the concerns of IT security. Established security standards and concepts on the other hand are often based on traditional, phase based software development methodologies.

Taking established security standards and recent research results, this paper outlines suitable security measures and actions to be included into the agile methodology of a development team.

In essence a team needs to establish awareness of the existing security threats and integrate this awareness into their agile process. The cross-functional team must build up IT security knowledge in order to achieve this. Agile software development methodologies include some components that facilitate IT security already, such as high quality standards and rapid feedback. During implementation teams must avoid common pitfalls leading to security related issues by following established secure coding principles, such as appropriate data processing including validation, strong authentication mechanisms and mature logging capabilities.

Agile software development methodologies are suited for IT security aware application development but IT security must be considered during the whole development process.

Download PDF-Dokument