Secure Software Engineering

Expertise

Zahlreiche Branchen befinden sich im Umbruch. Immer größere Teile der angebotenen Produkte und Dienstleistungen werden mithilfe von Software bereitgestellt oder enthalten diese als kritischen Bestandteil. Wettbewerb und Innovation bedingen eine andauernde Beschleunigung des Software-Lebenszyklus. Organisatorische und technische Trennungen zwischen vorbetrieblichen Phasen und dem Betrieb verschwimmen.

Die Entwicklung der Software findet oftmals über ausdifferenzierte Wertschöpfungsketten von Softwareherstellern, Outsourcing-Dienstleistern, Integratoren und Kapazitäten im eigenen Unternehmen statt. Dabei werden kommerzielle und individuelle Softwarekomponenten mit Softwarediensten kombiniert und zu komplexen, softwarebasierten Lösungen verbunden.

Diese Entwicklungen betreffen nicht nur Dienstleister beispielsweise der Medienbranche, deren Produktions- und Vertriebsprozesse immer weiter digitalisiert werden und mithilfe softwarebasierter Lösungen direkte Schnittstellen bis zum Endverbraucher benötigen. Ebenso sind Hersteller etwa medizinischer Geräte oder auch langlebiger Industriegüter betroffen, deren Produkte zunehmend kritische Softwarekomponenten enthalten und über softwarebasierte Schnittstellen in Anlagen und Gesamtsysteme eingebunden werden.

Aus dem Einsatz von Software (-lösungen) ergeben sich erhebliche Risiken für den ordnungsgemäßen Geschäftsbetrieb bzw. die Erfüllung des Einsatzzwecks von Produkten, das geistige Eigentum, die Reputation und die Einhaltung regulatorischer Verpflichtungen. Verwundbarkeiten können durch fremd- oder selbstentwickelte Softwarekomponenten, deren Kombination und Konfiguration sowie nicht antizipierten Einsatzbedingungen eingebracht werden.

Das Fraunhofer AISEC entwickelt Methoden, Werkzeuge und Vorgehensweisen zur Entwicklung und Analyse von sicheren Softwarekomponenten und darauf basierenden Lösungen. Wir betrachten dabei den gesamten Lebenszyklus von Softwarelösungen und fokussieren konstruktive Maßnahmen, um Sicherheit bereits im Entwurf zu planen und angemessen bei Integration und Konfiguration zu berücksichtigen.

Kompetenzen und Angebote im Überblick

Wir bieten unseren Kunden im Rahmen unseres Leistungsangebots beispielsweise:

  • Herstellerübergreifenden Vergleich und Auswahl von aktuellen Werkzeugen, Methoden und Vorgehensweisen zur Verbesserung des eigenen Entwicklungsprozesses und einer Entwicklungsumgebung für sichere Software
  • Integration von Werkzeugen, Methoden und Verfahren des Secure Software Engineering in den Software-Lebenszyklus
  • Definition und Umsetzung von Schnittstellen zwischen Lieferanten, Outsourcing-Dienstleistern, Integratoren und Anwendern zur Entwicklung sicherer Software
  • Unterstützung bei der Überwachung und Verbesserung von Maßnahmen für die Entwicklung sicherer Software
  • Einbettung von nicht-softwarebasierten Schutzmaßnahmen sowie ausgelagerten Diensten in sichere Softwarelösungen

Pressespiegel (Auswahl)

Sicherer zu sicherer Software

Mit einem Rahmenwerk für sichere Softwareentwicklung unterstützen die Security-Spezialisten des Fraunhofer AISEC Entwicklerteams dabei, Schwachstellen in ihren Arbeitsprozessen schnell zu finden und gezielt zu beheben.

InnoVisions.de, 7.10.2013

http://innovisions.de/beitraege/sicherer-zu-sichererer-software/

Publikationen (Auswahl)

  • D. Angermeier, A. Nieding and J. Eichler. "Supporting Risk Assessment with the Systematic Identification, Merging and Validation of Security Goals". 4. International Workshop on Risk Assessment and Risk-Driven Testing (RISK 2016), Springer, 2017.
  • D. Angermeier and J. Eichler. "Risk-driven Security Engineering in the Automotive Domain". Embedded Security in Cars (escar USA), 2016.
  • J. Schütte, J. Eichler and D. Titze. "Sichere Business-Apps unter Android". In: T. Barton, C. Müller and C. Seel (Eds.). "Mobile Anwendungen in Unternehmen - Konzepte und betriebliche Einsatzszenarien".  Springer Vieweg, 2016, 139-156.
  • C. Teichmann, S. Renatus and A. Nieding. "Modellgestützte Risikoanalyse der Sicherheit Kritischer Infrastrukturen für kleine und mittlere Unternehmen: Eine Übersicht". In: Multikonferenz Wirtschaftsinformatik (MKWI) 2016, Band 2. Ed. by V. Nissen, D. Stelzer, S. Straßburger and D. Fischer. MKWI Teilkonferenz IT-Sicherheit für Kritische Infrastrukturen (2016)
  • C. Teichmann, S. Renatus and J. Eichler. "Agile Threat Assessment and Mitigation: An Approach for Method Selection and Tailoring". International Journal of Secure Software Engineering (IJSSE), 7 (1), 2016.
  • J. Eichler and D. Angermeier. "Modular risk assessment for the development of secure automotive systems". In: Tagungsband der 31. VDI/VW-Gemeinschaftstagung Automotive Security, VDI, 2015.
  • S. Renatus, C. Bartelheimer and J. Eichler. "Improving prioritization of software weaknesses using security models with AVUS". In: Proceedings of the 15th IEEE International Working Conference on Source Code Analysis and Manipulation (SCAM 2015), IEEE, 2015.
  • J. Eichler. "Voll ausgereift – Sichere Software mit OpenSAMM, BSIMM und SSE-CMM", iX 11/2013.