Unter dem Titel „Agile Security Strategie“ fand am 10. Mai 2019 eine von DATEV organisierte Konferenz im DATEV IT-Campus statt. Trotz des nahenden Wochenendes nahmen mehr als 140 Teilnehmer aus über 40 Unternehmen der Region, aber auch aus dem Rest der Republik teil.
Das Themenspektrum reichte von der Betrachtung zentraler und dezentraler Security-Rollen in der agilen Arbeitswelt bis zu Fragen automatisierter Sicherheitstests oder Bedrohungsanalysen mit methodologischen Aspekten der IT-Sicherheitswelt. Im Anschluss an den offiziellen Teil hatten die Teilnehmer am Nachmittag die Möglichkeit, sich mit den Referenten und untereinander in lockerer Atmosphäre auszutauschen.
Agil, aber sicher!
Unter anderem wurde an einem typischen Live-Hacking-Fall gezeigt, wie Hacker vorgehen, um beispielsweise unberechtigt an Informationen zu gelangen.
Ferner wurde demonstriert, wie die Agile-Security-Strategie eine Umgebung fördert, die von flexiblen Security-Prozessen, Testautomatisierung, Kollaboration und Selbstorganisation geprägt ist. Sie schafft damit einen Rahmen, die Sicherheitsanforderungen mit agilem Entwicklungsvorgehen zu vereinbaren.
Agile Pentesting
Unabdingbare Voraussetzung für Flexibilität sind kontinuierliche, automatisierte Penetrationstests. Auf der Konferenz standen zwei Technologien im Fokus:
DAST (Dynamic Application Security Testing) ist eine Technologie zur Analyse von Anwendungen in ihrem laufenden Zustand. Sie simuliert Angriffe gegen eine Applikation (typischerweise webfähige Anwendungen und Services), analysiert die Reaktion der Anwendung und bestimmt dadurch deren Verwundbarkeiten.
IAST (Interactive Application Security Testing) ist eine Technologie, die auf Schwachstellen prüft, indem statische und dynamische Analysetechniken durch Instrumentierung des laufenden Codes kombiniert werden.
DevSecOps
DevSecOps setzt sich zusammen aus den Begriffen Development („Dev“), Security („Sec“) und Operations („Ops“) zusammen. Mit der DevSecOps Strategie sollen alle Beteiligten eines Produktes für die Sicherheit verantwortlich gemacht werden – vom Entwickler über Security-Spezialisten bis zum Betrieb. Ziel ist es, notwendige Entscheidungen zur Entwicklungs- und/oder Betriebszeit stets unter Berücksichtigung von Sicherheitsaspekten zu treffen.
Die Konferenz stieß durchweg auf ein positives Echo. Eine Wiederholung im nächsten Jahr gemeinsam mit dem Netzwerk der Digitalwirtschaft NIK gilt heute schon als sicher.
Über den Autor
Said Moftakhar hat im Laufe seines beruflichen Werdegangs verschiedene Stationen als IT-Security Projektleiter durchlaufen. Nach seinem Wechsel zu Telekom AG übernahm er die Rolle als Service Owner Security Testing. Seit Juli 2016 unterstützt er das Kompetenz-Center Security bei DATEV. In seiner Rolle als Product Owner für Agile Security ist er verantwortlich für die Umsetzung der Agile Security Strategie in der DATEV Softwareentwicklung.
