"Sicherheit muss im Softwarelebenszyklus eine deutlich höhere Priorität haben"
CSSLP-Zertifikat: (ISC)^2 sieht Deutschland als einen der wichtigsten Märkte
Köln (pts010/22.10.2008/10:00) Interview mit John Colley, CISSP, Managing Director EMEA und Vorstandsmitglied der (ISC)^2
Software wird heute in einem komplizierten Prozess mit vielen Beteiligten in unterschiedlichen Regionen der Welt entwickelt. Gleichzeitig nimmt die Zahl der Sicherheitsbedrohungen und auch die Zahl von gesetzlichen und regulatorischen Sicherheitsauflagen zu. John Colley, Managing Director Europe des International Information Systems Security Certification Consortium (ISC)^2 fordert deshalb, dass Sicherheit im Softwarelebenszyklus eine deutlich höhere Priorität haben muss und kündigt ein neues Zertifizierungsprogramm an, das das Sicherheits-Know-how aller am Softwarelebenszyklus beteiligten Personen validiert.
Herr Colley, welches Sicherheitsrisiko stellen Softwareanwendungen heute dar?
Mangelnde Softwaresicherheit macht das Leben von vielen Sicherheitsbeauftragten in den Unternehmen schwer und ist eine der Hauptursachen von Sicherheitslücken überhaupt. Manche Studien, z.B. von der Gartner Group, gehen davon aus, dass über 70 Prozent aller Sicherheitsschwachstellen auf Softwareapplikationen, die nicht den Sicherheitsstandards entsprechen, zurückzuführen sind. Aber noch ein anderer Aspekt ist wichtig. Die nachträgliche Behebung von Sicherheitsmängeln kostet Hersteller und Anwender viel Geld. Diese Kosten sind durch eine aktive und intensive Auseinandersetzung mit Sicherheitsaspekten während des gesamten Entwicklungsprozesses zu einem erheblichen Teil vermeidbar. Sicherheit muss deshalb im Softwarelebenszyklus eine deutlich höhere Priorität haben.
Sehen Sie einen Unterschied zwischen kommerzieller Software und Inhouse-Entwicklungen?
Man ist bisher davon ausgehen, dass Sicherheit bei der Inhouse-Entwicklung besser beherrschbar ist, weil die Rahmenbedingungen, unter denen die Software eingesetzt wird, klarer sind. Der Softwareentwicklungsprozess ist aber heute so komplex, dass diese Einschätzung nicht mehr stimmt. Entscheidend ist, dass Sicherheitsaspekte sowohl in der Design- und Planungsphase als auch im gesamten Softwarelebenszyklus berücksichtigt werden. Alle Mitarbeiter, die in den verschiedenen Phasen in den Prozess eingebunden sind, benötigen das notwendige Know-how, um sicherzustellen, dass die Sicherheitsanforderungen auch wirklich umgesetzt werden. Darauf zielt unser Zertifizierungsprogramm Certified Secure Software Lifecycle Professional (CSSLP) ab.
Was wollen Sie mit dem CSSLP-Zertifikat erreichen?
Das CSSLP-Zertifikat ist unsere Antwort auf die steigende Anzahl von Sicherheitsschwachstellen innerhalb von Software-Applikationen. Die meisten Schwachstellen sind vermeidbar, wenn Sicherheitsaspekte konsequent und von Anfang an berücksichtigt werden. Das CSSLP-Zertifikat setzt genau an dieser Stelle an. Es beschränkt sich dabei nicht auf eine bestimmte Programmiersprache und ist für alle, die am Software Lifecycle beteiligt sind, gedacht. Das können Entwickler, Programmierer und Tester genauso wie Software-Architekten und Projektmanager sein. Die Zertifizierung ist so konzipiert, dass Teilnehmern abschließend die Fähigkeit attestiert werden kann, Sicherheitsanforderungen im Bereich Softwareentwicklung identifizieren und beschreiben zu können und Risiken von Anfang an zu minimieren.
Die Softwareentwicklung findet heute hauptsächlich im Zusammenspiel zwischen On-Site- und Offshore-Teams, z.B. in Indien, statt. Welche Rolle spielt für Sie der deutsche Markt?
In Nordamerika, Deutschland und Indien gibt es unseren Analysen nach die höchste Zahl an Organisationen, die sich mit der Entwicklung von Software beschäftigen. Deshalb führen wir das CSSLP-Zertifikat zuerst in diesen Ländern ein. Nichtsdestotrotz, (ISC)^2 wird als globale Organisation das CSSLP-Zertifikat weltweit anbieten, somit hat jeder Interessent die Möglichkeit, sich zertifizieren zu lassen.
(ISC)^2 ist auch auf der Messe Systems 2008 in München am Stand 517 in Halle B3 vertreten.
(Ende)Aussender: | Mauth.CC Change + Communications |
Ansprechpartner: | Alexander Rank |
Tel.: | +49 211 280711-11 |
E-Mail: | ar@mauth.cc |