Architektur- und Sicherheitsaudits

Wie sicher ist Ihre Anwendung? Stehen Sie vor einer neuen Herausforderung und fehlt es an Erfahrungswerten? Minimieren Sie Ihr Risiko!

Ob nun als Vorbereitung auf einen externen Audit (z.B. PCI DSS) oder projektbegleitend zur systematischen Früherkennung potentiell kostspieliger Designentscheidungen – Eine „zweite Meinung„ gibt Sicherheit und hilft, dem typischen Problem etablierter Strukturen entgegenzuwirken: Betriebsblindheit. Wir bieten eine Außensicht, die kritisch hinterfragt und nachvollziehbar aufzeigt, wo Verbesserungspotential besteht.

Sie möchten wissen, wie tragfähig Ihre Architektur im Hinblick auf Wartung, Robustheit, Performance o.Ä. ist? Unsere Technologie-Experten werfen gerne einen kritischen Blick darauf, geben Ihnen wichtige Rückmeldungen auf Basis reichhaltiger Erfahrungen in vergleichbaren Situationen und weisen auf besonders empfindliche Stellen hin.

Häufig begleiten wir die Erarbeitung einer sinnvollen Strategie zum Wechsel von einer bestehenden auf eine modernere Technologie. Zudem steuern wir gerne unsere Erfahrungen beim technischen Dokumentieren von Architekturen bei.

Softwarearchitektur und -Design

Entscheidend für die Flexibilität und Erweiterbarkeit einer Anwendung ist die zugrunde liegende Architektur. Schon beim Entwurf entscheidet sich, welche Bereiche flexibel gestaltbar sein werden und in welchen Bereichen eine Änderung der Anforderungen einen höheren Aufwand verursacht. Zugleich bedeuten höhere Flexibilität und Konfigurierbarkeit auch oft höhere Kosten, sodass gut zwischen den Entwicklungskosten für die Erstimplementation und dem Wartungsaufwand abgewogen werden muss.

Auch hat die Qualität des zugrundeliegenden Komponentendesigns oft direkte Auswirkungen auf die mögliche Arbeitsteilung und Spezialisierung einzelner Entwickler während der Realisierungsphase des Projekts; schließlich kann die Umsetzung eines kaum greifbaren, undurchdringlichen Konglomerats an Vorgaben und Ideen nicht ohne regelmäßige Absprachen einzelner Teammitglieder untereinander – geschweige denn gar über Landesgrenzen hinweg – effizient organisiert werden.

If you think good architecture is expensive, try bad architecture.
-- Brian Foote and Joseph Yoder

Im Rahmen eines Architekturaudits durchleuchten wir bestehende Architektur- und Designvorgaben kritisch, geben Tipps & Tricks zur Methodik und erarbeiten – wenn notwendig – wesentliche Artefakte und Sichten auf Basis einer bereits existierenden aber nur in Auszügen dokumentierten Fachanwendung:

  • Anforderungen: Sind die Anforderungen des Systems klar beschrieben und ist diese Beschreibung immer noch aktuell? Gibt es eventuell Anwendungsteile, die nicht mehr verwendet werden und daher eigentlich entfernt werden könnten?
  • Komponentendesign: Wie klar sind die Strukturen und Zuständigkeit der einzelnen Anwendungskomponenten definiert und voneinander verschieden? Drückt sich dies in wohldefinierten Schnittstellen und Verträgen aus?
  • Sicherheit: Sind die einzelnen Vertraulichkeitszonen der Anwendung klar definiert? Werden Annahmen über die Struktur und Berechtigungen eingehender Kommunikation an den richtigen Stellen erneut verifiziert?
  • Geschwindigkeit: Entspricht die „gefühlte“ Performanz der Anwendung den Erwartungen oder gibt es auch hier „Flaschenhälse“, die den wirtschaftlichen Nutzen der Anwendung in der Realität deutlich schmälern.
  • Technologien: Stehen die bevorzugten Technologien im Einklang mit den funktionalen und nicht-funktionalen Anforderungen des Systems oder gibt es zweckmäßigere Alternativen?
  • Entwicklungsprozess: Sind Änderungen am geplanten Entwicklungsprozess denkbar, um die weitere Entwicklung der Anwendung noch zielgerichteter und kosteneffizienter zu gestalten?

Anwendungssicherheit

Die Sicherheit einer Anwendung gehört – gerade in den frühen Phasen eines Projekts – zu den am meisten vernachlässigten Aspekten alltäglicher Softwareentwicklung. Oft wird versucht, essentielle Sicherheitskonzepte erst nachträglich oder – noch schlimmer – lediglich als Konsequenz einer bereits erfolgten Kompromittierung der Anwendung von Außen „nachzurüsten“. Dies kann, insbesondere beim Umgang mit sicherheitskritischen Daten, für das zuständige Unternehmen recht schnell sehr teuer werden.

Im Rahmen eines Sicherheitsaudits durchleuchten wir bestehende Anwendungen, dokumentieren und bewerten deren sicherheitsrelevante Schwachstellen und zeigen denkbare Lösungsmöglichkeiten und Angriffsvektoren auf.

Dazu gehört:

  • Threat Modeling: Wir dokumentieren die für die Anwendung beabsichtigten Vertraulichkeitszonen im Rahmen eines Threat-Models und stellen diese dem tatsächlichen Ist-Zustand gegenüber.
  • Penetrationstests: Wir versetzen uns in die Rolle des böswilligen Nutzers und erarbeiten mögliche Angriffsvektoren und Exploits.
  • Standards: Wir erarbeiten und bewerten den Ist-Zustand Ihrer Anwendung angesichts etablierter Security-Standards und -Praktiken wie STRIDE, DREAD, OWASP und PCI.

[züruck zum Seitenanfang]

Branchenwissen

Eine Lösung finden heißt zu aller­erst, das zugrunde-liegende Problem zu verstehen.

Der Unterschied zwischen einem guten und einem exzellenten IT-Dienst­leister ist daher sein Wissen um die zugrundeliegende Domäne.

Unsere Schwerpunkte derzeit:

  • Tourismus
  • Öffentliches Beschaffungswesen
  • Finanzdienstleistungen
  • Dokumentverarbeitung und -Management

Technologiewissen

Die rasante Entwicklung der elektronischen Datenverarbeitung eröffnet oft völlig neue Perspektiven.

Durch die fortwährende Weiter­bildung unserer Mitarbeiter sowie den Einsatz modernster Technologien sorgen wir dafür, dass Ihre Anwendung schon heute den Anforderungen von morgen gewachsen ist.

Unsere Schwerpunkte derzeit:

  • Modellgetriebene Softwareentwicklung
  • Agile Methoden (Scrum/RUP)
  • Geschäftsprozessmanagement
  • Java Platform, Enterprise Edition (J2EE)
  • Microsoft .NET
  • Eclipse RCP
  • TYPO3
  • MySQL & Oracle DB