Höhere IT-Sicherheit durch Sichere Software Entwicklung

Zum Forschungsprojekt

Ein Forschungsprojekt der:

Projektergebnisse

Entwickelte Hilfsmittel:

Security Annotation Tool

Annotation sicherheitsrelevanter Codeabschnitte
Verwaltung kritischer Codeabschnitte über den gesamten Entwicklungsprozess
Link zur Demonstrator VM
Link zum Intellij-Plugin

CI-in-a-Box

Plattform zum Entwickeln und Erproben von CI/CD Pipelines und Umgebungen
Einbinden von Hardware in den CI/CD Prozess
Link zum CI-in-a-Box Git

Security Stories

Kartenspiel zur Verbesserung der Security Awareness
Rekonstruktion realer Sicherheitsvorfälle
Link zum Security Stories Git

Security Adventure

Computerspiel zur Schulung von Mitarbeitern durch diverse Aufgaben der IT-Security
Als Spielautomat verfügbar
Link zum Security Adventure Git

Leitfäden und Handlungsempfehlungen:

Pipeline to Production - Automatische Erstellung von Bitstreams und Programmierung
eines FPGAs im Rahmen einer CD-Pipeline

Poster: 15 Anzeichen,
dass Ihr IoT-Gerät nicht sicher ist

Poster: 15 Ways to Tell
it‘s Not IoT Device Security

Arm TrustZone für Cortex-M-Prozessoren - Sichere Microcontroller-Software

Vorträge und Veröffentlichungen:

2021:

EICC 2021:

Salt&Pepper: Spice up Security Behavior with Cognitive Triggers

AUXINNOS - Forum für innovative Sicherheit:

Implementierung von mehr Security in Software bei KMUs

Heise devSec 2021:

Shifting Left mit DevSec Story Kitchen

Hackerkiste 2021:

CI-in-a-Box - Eine Plattform zum Testen von Embedded Pipelines

2022:

Transferstelle Cybersicherheit:

Blogbeitrag zu Code Annotation

Hannover-Messe 2022:

Projekt HITSSSE

Transferstelle Cybersicherheit:

Blogbeitrag zu CI-in-a-Box

IT-SA 2022:

Projekt HITSSSE

Telefonica Security Team

Projekt HITSSSE

2023:

Transferstelle Cybersicherheit Oldenburg:

Projekt HITSSSE

Hannover Messe 2023:

CI-in-a-Box / Security Adventure

Hackerkiste 2023:

Projekt HITSSSE

IT-SA 2023:

Projekt HITSSSE

Internet Security Days Köln:

Security Annotation Tool

Security Innovations:

Security Survey Beitrag: Projekt

HITSSSE

XITASO Techtalks:

Security Annotation Tool

International Partner Days THA:

Security Annotation Tool

IT-Sicherheitstag IHK Schwaben:

Projekt HITSSSE

Das Forschungsprojekt

Höhere IT-Sicherheit durch Sichere Software Entwicklung

Immer mehr kleine und mittlere Unternehmen (KMUs) entwickeln Software für eigene Infrastrukturen oder Produkte. Hierbei herrscht meist ein hoher Zeitdruck und es stehen oft nur beschränkt personelle Ressourcen zur Verfügung. Oft werden inzwischen auch agile Softwareentwicklungsmethoden eingesetzt, die schnell einsetzbare Lösungen liefern sollen, Dadurch spielt die Sicherheit dieser Software oft eine untergeordnete Rolle, was sich letztendlich auch auf die IT-Sicherheit dieser Unternehmen und ihrer Kunden auswirkt.

Im Fördervorhaben HITSSSE soll die IT-Sicherheit durch sichere Software Entwicklung für KMUs verbessert werden. Hierfür werden im Forschungsprojekt Handlungsempfehlungen sowie technische Hilfsmittel erstellt, die zuerst bei den assoziierten Partnern des Projekts konkret erprobt werden, um daraufhin generische Lösungsansätze für kleine und mittlere Unternehmen in Deutschland zu schaffen. Durch die Zusammenarbeit mit der Transferstelle „IT-Sicherheit in der Wirtschaft” soll die Breitenwirkung der entwickelten Angebote verstärkt werden.

Forschunsprojekt

Lösungsansatz & Innovation

Auf die individuellen Bedürfnisse zugeschnitten

Im Fördervorhaben HITSSSE soll untersucht werden, wie die IT-Sicherheit von KMUs durch sichere Softwareentwicklung gesteigert werden kann. Wenn vorhandene Sicherheitstools einfach einsetzbar sind und verwertbare Ergebnisse liefern, steigt die Sicherheit der damit entwickelten Produkte. Durch die Bereitstellung von klaren Leitfäden und Handlungsempfehlungen können effiziente, agile Entwicklungsprozesse etabliert werden, die das Prinzip „Security-by-Design“ von Anfang an berücksichtigen. So kann ein nachhaltiger Effekt zugunsten einer erhöhten Sicherheit von Produkten deutscher KMUs erzielt werden.

Die effiziente Umsetzung des Projekts HITSSSE wird durch die Kooperation des Instituts für innovative Sicherheit (HSA_innos) und des Innovationslabors der Hochschule Augsburg (HSA_innolab) ermöglicht. Über die Laufzeit von drei Jahren analysieren und optimieren die Partner die Entwicklung sicherer Software aus drei Perspektiven.

Die zwei Bereiche „Applikations-, Server- und Web-Software“ und „Eingebettete Systeme und Internet-of-Things Geräte“ stellen die technischen Arbeitsfelder dar. Der dritte und übergreifende Teil umfasst den Faktor Mensch als Enabler für sichere Produktentwicklungsprozesse und die Hürden, die Nutzer z.B. aufgrund von mangelnder Usability, überwinden müssen.

1

Applikations- und Server-Software

Softwareentwicklung für Applikations- und Server-Software, wie sie in vielen Firmen zu eigenen Zwecken betrieben wird.

2

Eingebettete Systeme

Softwareentwicklung für eingebettete Systeme, z.B. für Software auf industriellen Geräten, aber auch diverse Geräte des Internets der Dinge.

3

Usability

Und Faktor Mensch als Enabler für sichere Softwareentwicklung.

Projektpartner

Konsortialführung

Prof. Dr.-Ing. Dominik Merli

Institut für innovative Sicherheit

Industrielle Sicherheit &
Embedded Security

Prof. Dr.-Ing. Alexandra Teynor

Innovationslabor der Hochschule Augsburg

Software Engineering &
Machine Learning

Prof. Dr. Phillip Heidegger

Innovationslabor der Hochschule Augsburg

Software Engineering &
Programmmiersprachen

Assoziierte Partner

Die fünf assoziierten Partner XITASO GmbH, Codemetrix GmbH, KUNBUS GmbH, Premium AEROTEC GmbH und Juliane Reimann & Team begleiten das Projekt als Diskussionspartner, Pilotanwender und Multiplikatoren in ihren Netzwerken.

Zusammen mit ihnen werden die alltäglichen Herausforderung analysiert und erarbeitete Ansätze praxisnah evaluiert. Durch die Generalisierung der Resultate und die Kooperation mit der Transferstelle „IT-Sicherheit im Mittelstand“ wird die gewünschte Breitenwirkung erzielt.