Security Engineering
03.03.2016
Drei Fragen zu Security Engineering an Martin Burkhart, Dr. sc. ETH Zürich, Product Manager Web Application Security
Wie unterscheidet sich Security Engineering von anderen Engineering-Aufgaben in der Softwareentwicklung?
Die reine Softwareentwicklung fokussiert auf die Anforderungen des Kunden, die von Business-Seite an eine Software gestellt werden. Die wichtigsten Kriterien sind dabei eine vollständige Abdeckung aller Geschäftsprozesse, Datenmigrationen, die Einhaltung von Terminen oder die User Experience. Beim Security Engineering liegt der Fokus ganz anders. Dabei werden getroffene Annahmen hinterfragt und Angriffe antizipiert. Es wird analysiert, ob sich das entwickelte System aus dem Tritt bringen lässt oder ob mittels Tricks unerwünschte Seiteneffekte produzierbar sind. Während sich also die Softwareentwicklung auf die erwünschte Funktionsweise konzentriert, analysiert ein Security Engineer das System systematisch an seinen Grenzen und klopft es auf mögliche unerwünschte Funktionsweisen ab.
Gibt es typische Herausforderungen im Bereich Security, die sich aktuell bei vielen Unternehmen ähnlich stellen?
Die Digitalisierung erfasst diverse Branchen und führt dazu, dass immer mehr Geschäftsprozesse ins Internet gestellt werden. Der Browser und mobile Apps werden in Zukunft die dominierende Schnittstelle zwischen ihren Kunden, Mitarbeitern und Applikationen sein. Zudem sind unsere Kunden meist daran interessiert, ihren Partnern Zugriff zu gewähren und Services anderer Bereiche zu integrieren. Daraus ergeben sich grosse Herausforderungen beim Identitätsmanagement und der Zugriffskontrolle. Die Lösungen dazu erarbeiten wir immer in enger Zusammenarbeit mit dem Kunden. Aus unserer jahrzehntelangen Erfahrung im Security Engineering hat sich auch die Airlock Suite entwickelt. Die Airlock Suite bietet ein sicheres und effizientes Web Access Management für den Schutz moderner Webapplikationen. Starke Authentisierung, Single Sign-on sowie ein Schutz gegen applikatorische Angriffe wie Cross-Site Scripting (XSS) und SQL Injection lassen sich damit vorgelagert und zentral umsetzen.
Welche Kompetenzen hat ein Security Engineer, was kann man von einer Beratung erwarten?
Ein Security Engineer hat starke analytische Fähigkeiten und kennt die State-of-the-Art-Methoden und die Werkzeuge von Angreifern. Aufgrund seiner Erfahrung hat er die Fähigkeit, die Perspektive eines Angreifers einzunehmen und den Finger auf wunde Punkte einer Applikationsarchitektur zu legen. Er analysiert systematisch die schützenswerten Daten einer Applikation und die Gefahren, denen sie ausgesetzt sind. Im Rahmen einer Risikobeurteilung schlägt er konkrete Massnahmen vor, welche die grössten Risiken kosteneffizient eindämmen.