Suche
Login
Sichere Softwareentwicklung - Das Übel an der Wurzel packen
ObjektForum Karlsruhe, 06. Februar 2012 18:30
Sichere Softwareentwicklung - Das Übel an der Wurzel packen
06. Februar 2012 18:30
Moderation: Timm Reinstorf (andrena objects ag)
Inhalt
Anhand ausgewählter Beispiele aus der Praxis wird gezeigt, welche Schwachstellen häufig
in produktiven Softwarekomponenten auftreten sind und welche Folgen gängige
Angriffsszenarien auslösen können. Die praktischen Demonstrationen stehen im Mittelpunkt
des Vortrags.
Das Ziel der sicheren Softwareentwicklung ist es, ein Softwareprodukt möglichst ohne
Schwachstellen zu kreieren, so dass es im Betrieb nicht angreifbar ist. Viele Faktoren tragen
zu diesem Ziel bei. Der wichtigste Faktor ist die Erweiterung des eigenen
Softwareentwicklungsprozesses um zusätzliche sicherheitsspezifische Aktivitäten. Oftmals
wird unter sicherer Softwareentwicklung in der Praxis „nur“ das sichere Kodieren, z. B.
Vermeidung von SQL Injection Angriffen, und das statische und dynamische Testen von
Anwendungen auf Sicherheitsschwachstellen verstanden. Sichere Softwareentwicklung
beginnt aber bereits in den ersten Phasen im Softwareentwicklungsprozess: bei der
Erhebung der Anforderungen und dem Design der Anwendung. Nur wenn die Sicherheit
bereits von Anfang an im Softwareentwicklungsprozess verankert wird, lassen sich
Sicherheitslücken proaktiv vermeiden und damit ein wirklich sicheres Softwareprodukt
erstellen. Sichere Software-Entwicklung ist gelebte Informationssicherheit.
Sprecher
Petra Barzin erhielt ihr Diplom 1995 von der Fachhochschule Darmstadt. Von 1995 bis 1999 arbeitete sie als Wissenschaftliche Mitarbeiterin der GMD (heute FhG) im Themenbereich Sicherheits- und Smartcard Technologien. 1999 wechselte sie zu einem führenden deutschen Hersteller von PKI-Lösungen.
Dort leitete sie vier Jahre das Security Consulting-Team und war anschließend im Produktmanagement für die Produktentwicklung
ausgewählter IT-Sicherheitsprodukte verantwortlich.
Seit 2004 ist sie Security Consultant bei der Secorvo Security Consulting GmbH. Petra Barzin verfügt über langjährige Erfahrung in den Bereichen Public-Key-Infrastrukturen, E-Mail-Sicherheitslösungen, Single-Sign-On-Lösungen, Digitale Signaturen und Signaturgesetzkonformität. Frau Barzin ist vom ISC2 zertifizierte Information Systems Security Professional (CISSP) und stellvertretende Vorsitzende des ISSECO Managing Boards.