{"id":3547,"date":"2017-05-04T18:09:48","date_gmt":"2017-05-04T16:09:48","guid":{"rendered":"http:\/\/www.bernhardschloss.de\/blog\/?p=3547"},"modified":"2017-05-04T18:09:48","modified_gmt":"2017-05-04T16:09:48","slug":"security-im-agilen-kontext","status":"publish","type":"post","link":"https:\/\/www.bernhardschloss.de\/blog\/security-im-agilen-kontext\/","title":{"rendered":"Security im agilen Kontext"},"content":{"rendered":"<p>Diese Tage kam ich in der Diskussion mit einem Kunden auf die Ber\u00fccksichtigung von Security <a href=\"https:\/\/de.wikipedia.org\/wiki\/Anforderung_(Informatik)\" target=\"_blank\" rel=\"noopener noreferrer\">Requirements<\/a> in einem agilen Kontext.<\/p>\n<p>Hintergrund war, dass bislang Security vor allem f\u00fcr den Betrieb und f\u00fcr die Produktsicherheit thematisiert wird, aber Sicherheitsaspekte in der Entwicklung und in einer Projektphase noch eher stiefm\u00fctterlich behandelt werden. Auf der anderen Seite finden\u00a0agile Vorgehensweisen immer weiter Einzug in die Unternehmen und die Ausgangsfrage des Kunden war, wie man Sicherheitsbelange im agilen Kontext ber\u00fccksichtigen kann.<\/p>\n<p>F\u00fcr die Projektsicht gibt es vor allem zwei Themenstr\u00e4nge (und dabei m\u00fcssen wir noch nicht mal zwischen agil und klassisch unterscheiden):<\/p>\n<ul>\n<li>Die Sicherheit im Projekt<\/li>\n<li>Die Entwicklung der Sicherheit f\u00fcr Produkt und Betrieb<\/li>\n<\/ul>\n<p>Bei letzterem Punkt k\u00f6nnte ich mir unterschiedliche Strategien vorstellen:<\/p>\n<ul>\n<li>Ein stufenweiser Hochlauf, bei dem systematisch das Sicherheitsniveau angehoben wird. (Anfangs mit einer Sandbox, dann Aufbau einer Entwicklungsumgebung, erst noch ohne Daten, dann nur mit einem Teilset der Daten, bis hin zur vollumf\u00e4nglichen Produktion)<\/li>\n<li>Vorgabe von Leitplanken (im Qualit\u00e4tsmanagement gibt es daf\u00fcr das Control Chart als Werkzeug).<\/li>\n<li>\u2026<\/li>\n<\/ul>\n<p>Grunds\u00e4tzlich w\u00fcrde ich Security-Anforderungen im Normalfall den nicht-funktionalen Anforderungen zuordnen.<\/p>\n<p>Agile SW-Entwicklung fokussiert tendenziell auf funktionalen Anforderungen. Werden dabei wichtige nicht-funktionale Anforderungen vergessen, so kann dies eine Schw\u00e4che agilen Vorgehens sein.<\/p>\n<p>Im Wesentlichen finden sich drei Ans\u00e4tze zur Ber\u00fccksichtigung von Security Requirements im agilen Kontext:<\/p>\n<ul>\n<li>Eigene nicht-funktionale Eintr\u00e4ge ins Backlog (beispielsweise eigene User Stories. Ein Kollege hat mir berichtete mir, dass er ein eigenes Backlog f\u00fcr Security Anforderungen aufgebaut hat.)<\/li>\n<li>Ber\u00fccksichtigung nicht-funktionaler Anforderungen als Constraints<\/li>\n<li>Ber\u00fccksichtigung als Kriterien im Definition of Done<\/li>\n<\/ul>\n<p>Wenn die Vorgaben f\u00fcr Security oder nicht-funktionale Anforderungen allerdings zu sehr formalisiert werden, dann birgt das bereits einen kulturellen Konflikt:\u00a0Ein formaler Prozess entspricht jetzt nicht ganz den agilen Vorstellungen von eigenverantwortlichem Handeln, d.h. auch da br\u00e4uchte es klar definierten Handlungsspielraum f\u00fcr das Team.<\/p>\n<p>Maturity Ans\u00e4tze fand ich zur Ber\u00fccksichtigung von Security Anforderungen nicht hilfreich. Da finden sich \u00a0<a href=\"https:\/\/de.wikipedia.org\/wiki\/Capability_Maturity_Model_Integration\" target=\"_blank\" rel=\"noopener noreferrer\">CMMI<\/a>-Adaptionen auf agile Vorgehensweisen. Thematisiert wird aber das Vorgehensmodell an sich und nicht die Ber\u00fccksichtigung nicht-funktionaler oder sicherheitsrelevanter Anforderungen.<\/p>\n<p><em>Beitrag #723 auf schlossBlog<\/em><\/p>\n<div class=\"twoclick_social_bookmarks_post_3547 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_3547')){$('.twoclick_social_bookmarks_post_3547').socialSharePrivacy({\"services\":{\"facebook\":{\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"action\":\"recommend\",\"language\":\"de_DE\"},\"twitter\":{\"reply_to\":\"schlossblog\",\"tweet_text\":\"Security%20im%20agilen%20Kontext%20%C2%BB%20schlossBlog\",\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"language\":\"de\",\"referrer_track\":\"\"},\"xing\":{\"status\":\"on\",\"txt_info\":\"\",\"perma_option\":\"off\",\"language\":\"de\",\"referrer_track\":\"\"},\"t3n\":{\"status\":\"on\",\"txt_info\":\"2 Klicks f\\u00fcr mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie k\\u00f6nnen Ihre Empfehlung an t3n senden. Schon beim Aktivieren werden Daten an Dritte \\u00fcbertragen - siehe <em>i<\\\/em>.\",\"perma_option\":\"off\"},\"linkedin\":{\"status\":\"on\",\"txt_info\":\"2 Klicks f\\u00fcr mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie k\\u00f6nnen Ihre Empfehlung an LinkedIn senden. Schon beim Aktivieren werden Daten an Dritte \\u00fcbertragen - siehe <em>i<\\\/em>.\",\"perma_option\":\"off\"}},\"txt_help\":\"\",\"settings_perma\":\"\",\"info_link\":\"\",\"uri\":\"https:\\\/\\\/www.bernhardschloss.de\\\/blog\\\/security-im-agilen-kontext\\\/\",\"post_id\":3547,\"post_title_referrer_track\":\"Security+im+agilen+Kontext\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div>","protected":false},"excerpt":{"rendered":"<p>Diese Tage kam ich in der Diskussion mit einem Kunden auf die Ber\u00fccksichtigung von Security Requirements in einem agilen Kontext. Hintergrund war, dass bislang Security vor allem f\u00fcr den Betrieb und f\u00fcr die Produktsicherheit thematisiert wird, aber Sicherheitsaspekte in der Entwicklung und in einer Projektphase noch eher stiefm\u00fctterlich behandelt werden. Auf der anderen Seite finden\u00a0agile [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","footnotes":""},"categories":[5,381,8,11],"tags":[54,150,627,637],"class_list":["post-3547","post","type-post","status-publish","format-standard","hentry","category-consulting","category-it-security","category-projektmanagement","category-softwareentwicklung","tag-agil","tag-agile-sw-entwickung","tag-anforderung","tag-security"],"_links":{"self":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/3547","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/comments?post=3547"}],"version-history":[{"count":3,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/3547\/revisions"}],"predecessor-version":[{"id":3550,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/posts\/3547\/revisions\/3550"}],"wp:attachment":[{"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/media?parent=3547"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/categories?post=3547"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bernhardschloss.de\/blog\/wp-json\/wp\/v2\/tags?post=3547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}