BOS - Hyperkonvergenz – Der einzige Weg zum Software definierten Rechenzentrum?
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 11 - DSGVO - Datenschutz und Sicherheit von Anfang an!
1. München/HQ Aachen Bamberg Berlin Đà Nẵng Dresden Grenoble Hamburg Köln Leipzig Nürnberg Prag Washington, D.C. Zug
Datenschutz und Sicherheit von Anfang an
Dr. Bastian Braun
mgm security partners gmbh
Mit Sicherheit Datenschutz in der Gesetzlichen UV - Herausforderungen und Chancen bei der Umsetzung der EU-Datenschutzgrundverordnung (EU-DSGVO), Berlin, 26.05.2018
2. 27.04.2018 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wir haben einen starken Softwareentwicklungshintergrund
Statische CodeanalysePenetrationstests Seminare/Trainings BeratungArchitekt. AnalyseSecure CodingSDL Beratung
Solide praktische Erfahrung
in grossen und
geschäftskritischen
Software-
Entwicklungsprojekten ist
das Rückgrat unserer Web-
Security-Dienstleistungen.
Web ShopsAgile Entwicklung DevOps B2BLogistik
SSG
Security
PROJEKT 3
Security
PROJEKT 2
Security
PROJEKT 1
Web-Security-
Dienstleistungen
Software-
Entwickung
3. 27.04.2018 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
ein Grundstück kaufen
evtl. Makler engagieren
einen Architekten beauftragen
Grundrisse und Pläne zeichnen lassen
einen Bauträger/Verwalter finden
Termine und Zahlungen vereinbaren
Nicht vergessen
Strom, Gas, Wasser
TV
Telekommunikation
Badeinrichtung
Bodenbeläge
Bauen wir ein Haus…
4. 27.04.2018 4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Was haben wir vergessen?
die Statik!
Wann sollte die Statik geprüft werden?
Am Anfang?
Während der Bauphase?
Bei der Abnahme?
Bauen wir ein Haus…
ein Grundstück kaufen
evtl. Makler engagieren
einen Architekten beauftragen
Grundrisse und Pläne zeichnen
lassen
einen Bauträger/Verwalter finden
Termine und Zahlungen
vereinbaren
Nicht vergessen
Strom, Gas, Wasser
TV
Telekommunikation
Badeinrichtung
Bodenbeläge
5. 27.04.2018 5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Würden Sie als Bauherr dieses
Gebäude abnehmen?
7. 27.04.2018 7EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Warum sagen Menschen dann
„Sicherheit und Datenschutz
machen wir am Schluss.“
in Softwareentwicklungs-
projekten?
Nein?
8. 27.04.2018 8EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wer ist der Statiker, der dies in
einem
Softwareentwicklungsprojekt
verhindert?
9. 27.04.2018 9EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Unser Ansatz:
Datenschutz und Sicherheit von Anfang an
Advisor as a Service
10. 27.04.2018 10EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Was bedeuten Sicherheits- und Datenschutzrisiken für die Softwareentwicklung?
Schwachstellen erlauben einem Angreifer, Schaden zu verursachen.
Datenschutzverstöße machen das Unternehmen juristisch angreifbar.
Beides kann zu schlechter PR führen.
Soweit klar… aber darum geht es hier nicht wirklich. Stattdessen:
Schwachstellen stellen ein Risiko dar für:
die Entwicklungskosten
die Einhaltung von Zeitplänen & Fristen
Risiko
11. 27.04.2018 11EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Heute üblicher Ansatz für Softwaresicherheit und Datenschutz:
praktisch keine Unterstützung durch Experten während der Entwicklungsphase
große Überraschung nach der abschließenden Sicherheitsüberprüfung/Datenschutzprüfung kurz
vor dem Go-Live
Ergebnis
Wahl zwischen Verschiebung des Go-Live und Inkaufnahme des erhöhten Risikos
Nachfolgende Einbeziehung von Sicherheits- und Datenschutzeigenschaften erfordert eine
Erhöhung des Budgets. Selbst dann: Das Hinzufügen von Sicherheits- und
Datenschutzeigenschaften in die Anwendungsarchitektur ist meist nicht möglich.
Konventioneller Ansatz
12. 27.04.2018 12EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Sicherheit und Datenschutz sind (genauso wie funktionale Qualität) ein fundamentaler Baustein
unseres Softwareentwicklungsprozesses.
Sicherheitstrainings für Entwickler
Einbindung eines Sicherheits- und Datenschutzexperten in jedes Projekt
entwicklungsbegleitende Tests und Analysen
Ergebnis
keine bösen Überraschungen mehr: weder Deadlines noch Budgets werden durch
Testergebnisse gefährdet
Unser Ansatz
13. 27.04.2018 13EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Ohne Experten werden Sicherheits- und Datenschutzentscheidungen getroffen
von Menschen mit begrenzter Expertise
als ja/nein-Entscheidungen
mit auf den Einzelfall eingeschränktem Blick
Resultat
zu viel Sicherheit & Datenschutz => unnötig hohe Kosten und ggf. Komplikationen
üblicherweise allerdings: ungenügende Sicherheit und lückenhafter Datenschutz!
Mit Experten werden Sicherheits- und Datenschutzentscheidungen getroffen
durch einen Experten
individuell ausbalanciert
und hochgradig auf die Gesamtsituation abgestimmt
Resultat: umfassende und kosteneffiziente Integration von Sicherheit und Datenschutz ins Produkt.
Vorteile durch den Sicherheitsexperten
14. 27.04.2018 14EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Funktioniert das auch in agilen Prozessen?
15. 27.04.2018 15EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Was ist agile Softwareentwicklung?
Individuals and interactions over processes and tools
Working software over comprehensive documentation
Customer collaboration over contract negotiation
Responding to change over following a plan
src: Manifesto for Agile Software Development, http://www.agilemanifesto.org
16. 27.04.2018 16EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wie fügt man Sicherheit und Datenschutz in agile Entwicklungsprozesse ein?
src: https://www.microsoft.com/en-us/SDL/process/training.aspx
Von Wasserfall…
17. 27.04.2018 17EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wie fügt man Sicherheit und Datenschutz in agile Entwicklungsprozesse ein?
src: https://www.microsoft.com/en-us/SDL/process/training.aspx
Requirements Release
Requirements
Release
Design
Implementation
Verification
Design
Implementation
Verification
… zu agiler Entwicklung
18. 27.04.2018 18EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wie fügt man Sicherheit und Datenschutz in agile Entwicklungsprozesse ein?
Requirements Release
Requirements
Release
Design
Implementation
Verification
Design
Implementation
Verification
19. 27.04.2018 19EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wie fügt man Sicherheit und Datenschutz in agile Entwicklungsprozesse ein?
Requirements Release
Requirements
Release
Design
Implementation
Verification
Design
Implementation
Verification
Dies ist das wesentliche
Arbeitsfeld – aber es ist
TEAMWORK!
20. 27.04.2018 20EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wie fügt man Sicherheit und Datenschutz in agile Entwicklungsprozesse ein?
Requirements Release
Requirements
Release
Design
Implementation
Verification
Design
Implementation
Verification
Sicherheitsfunktionen der
Frameworks + automatisiertes
Testen!
21. 27.04.2018 21EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Integration von Sicherheit und Datenschutz – keine Neuerfindung von Prozessen
Sicherheitstraining für Entwickler / Scrum Master / PO
Awareness-Seminar für Entscheidungsträger
Sicherheits- und Datenschutzeigenschaften als Teil der Definition of Done
Nutzen der Ergebnisse aus automatisierten Tests, z.B. SAST
Advisor-as-a-Service (AaaS)
bei Bedarf: Penetrationstesten, manuelle Code-Reviews
Lektionen aus der Integration von Sicherheit und Datenschutz in agile
Softwareentwicklung
24. 27.04.2018 24EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutz und Sicherheit von Anfang an sind der effizienteste und zuverlässigste Weg
zu einem sicheren Produkt.
Software Engineering muss Produktsicherheit beachten wie jede andere
Ingenieurstätigkeit auch.
Agile Entwicklung
=> Dynamische Spezifikation von Funktionalitäten
=> entsprechend dynamische Definition von Sicherheits- und Datenschutzeigenschaften
EU-DSGVO verlangt frühe Beachtung jenseits von Sicherheit:
(In der Lage sein zu) löschen, insb. Nutzerdaten Recht auf vergessen werden
Landing Pages & Gewinnspiele nach Zustimmung fragen vor Nutzerverfolgung
Zusammenfassung & Ausblick
25. 27.04.2018 25EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Wir machen Software. Sicher.
PragMünchen Berlin Hamburg Köln NürnbergGrenoble LeipzigDresdenBamberg Đà Nẵng ZugWashington
mgm security partners GmbH
Frankfurter Ring 105a
80807 München
Tel.: +49 (89) 35 86 80-0
Fax: +49 (89) 35 86 80-288
http://www.mgm-tp.com
Dr. Bastian Braun
IT Security Consultant
Tel: +49 (89) 35 86 80-424
Mob: +49 (1575) 885 0137
Bastian.Braun@mgm-sp.com