Safety & Security by Design

Der VÖSI Arbeitskreis „Safety & Security“ arbeitet an der Umsetzung dieser beiden Aspekte „by Design“ in Software. Dafür trifft sich eine Gruppe von Spezialisten regelmäßig unter Leitung von Dr. Johann Stiebellehner, Inhaber eines Ingenieurbüros für Informatik. Erste Ergebnisse wurden kürzlich im Rahmen der Security-Fachkonferenz von Seidler Consulting präsentiert.

Wie in vielen Verbänden üblich, werden auch im Verband Österreichischer Software Industrie (VÖSI) aktuelle, branchenspezifische Themen in Arbeitskreisen behandelt. Einer der jüngsten davon ist der AK „Safety & Security“, der sich dem vieldiskutierten Thema der Sicherheit widmet. Arbeitskreisleiter Dr. Johann Stiebellehner hat dazu mit Unterstützung des VÖSI Präsidenten Peter Lieber eine Runde von Spezialisten (u.a. Austrian Institute of Technology AIT, Microsoft, LieberLieber Software, Techtalk etc.) zusammengestellt, die die unterschiedlichen Aspekte dieses umfassenden Gebiets behandeln. „Hinter den in der englischen Sprache gut unterschiedenen Begriffen Safety und Security stehen grundsätzlich verschiedene Konzepte der Vermeidung und der Vorbeugung. Diese beiden Gebiete wurden bislang oft getrennt betrachtet, durch die zunehmende Vernetzung der IT-Systeme wachsen sie aber gänzlich zusammen. Daher müssen wir gerade auch für die Software neue Konzepte entwickeln und testen, um „Safety & Security by Design“ konstruktiv und wohlüberlegt erstellen zu können“, erläutert der AK-Leiter.

Softwareentwicklung unterwirft sich ingenieurmäßigen Erwartungen

Um die Leistungen der VÖSI Arbeitskreise einer interessierten Fachöffentlichkeit zugänglich zu machen, präsentierte Stiebellehner Anfang Mai erste Ergebnisse auf der Security-Fachkonferenz von Seidler Consulting im Novomatic Forum in Wien. Dabei bediente sich der AK-Leiter eines Vergleichs mit der Ingenieursparte der Architektur: Gerade bei Planung und Bau eines Hauses werden viele Sicherheitsaspekte (Fluchtwege = Safety; Gebäudeschutz = Security) schon seit langem „by Design“ sichergestellt. Dies erfolgt durch einschlägige Normen und Vorschriften, die standardmäßig bei der Errichtung eines Gebäudes zu berücksichtigen sind. Der Architekt wird durch ein umfangreiches Set an Erfahrungen und bewährten technischen Richtlinien entlastet und kann sich ganz der gestalterischen Aufgabe widmen.

Nun ist es auch für die Softwarebranche an der Zeit, sich mehr in eine von Ingenieursprinzipien geleitete Richtung zu bewegen: „Mittlerweile stellt Software für Unternehmen und den öffentlichen Bereich eine kritische Infrastrukturkomponente dar, und erfordert daher Ingenieursarbeit. Auch bei der Erstellung von Software dürfen wir uns nicht mehr nur um die funktionalen Anforderungen – was soll die Software können – kümmern. Wir müssen wie in vielen anderen Ingenieursberufen seit langem üblich z.B. auch definieren, wie Daten vor unberechtigtem Zugriff geschützt werden können (Security) oder wie das System bei einem bewussten Manipulationsversuch bzw. bei Fehlbedienung reagieren soll (Safety)“, so Stiebellehner.

Grafik verdeutlicht die Verbindung von Safety & Security

Zur optischen Darstellung der Ziele des VÖSI Arbeitskreises hat der AK-Leiter eine Grafik entwickelt (siehe Bild), die das enge Zusammenspiel der beiden Aspekte verdeutlicht. „Bei der klassischen Pyramiden-Darstellung scheint es immer so, als ob die einzelnen Bereiche sauber voneinander getrennt wären. Das ist aber heute nicht mehr sinnvoll. Daher bietet sich die Darstellung in einer Spirale an, wo alle Aspekte miteinander interagieren.“ Für die Weiterführung der Arbeit erstellt Stiebellehner nun genau umrissene Arbeitspakete, in die sich die Mitwirkenden je nach Expertise unterschiedlich stark einbringen können. „Wir wollen die Zeit im Arbeitskreis bestmöglich nutzen. Mit klar definierten Aufgaben geben wir den Teilnehmenden die Möglichkeit, sich gezielt bei den Aspekten zu beteiligen, für die sie auch entsprechendes Know-how mitbringen.“

Die Ergebnisse des VÖSI Arbeitskreises „Safety & Security“ sollen die Softwareentwicklung im Bereich der nicht-funktionalen Safety & Security-Anforderungen mit verschiedenen Tools unterstützen:

• Best Practices
• Do‘s and Don`ts in Softwarearchitektur
• Ingenieurmäßige Prinzipien für die Erstellung von Safety & Security in Software
• Messbarkeit von Safety & Security-Kriterien

Da der Arbeitskreis erst am Anfang seiner Tätigkeiten steht, ruft auch der VÖSI Präsident alle Interessierten zur aktiven Mitarbeit auf: „Die Mitarbeit in den VÖSI Arbeitskreisen ist unabhängig von einer Mitgliedschaft. Dank der neuen Arbeitspakete im AK Safety & Security lässt sich nun auch für Neueinsteiger leichter aussuchen, bei welchen Aspekten jemand mitarbeiten will. Wir freuen uns über neue Interessenten, die in diesem zukunftsträchtigen Gebiet aktiv mitwirken wollen“, so Peter Lieber abschließend.

Zur Person:

Dr. Johann Stiebellehner beschäftigt sich seit seinem Studium an der TU Wien mit dem großen Bereich des Software Engineering und ist Experte für das Vermessen von Software. Das ist eine zentrale Aufgabe von Softwareingenieuren, sowohl bei der Planung neuer Softwarearchitekturen als auch bei Legacysystemen. Diese Leidenschaft endete nicht mit dem Studium, sondern setzt sich auch beruflich im Rahmen des selbständig geführten Ingenieurbüros fort. Ingenieurbüros gibt es in technischen Fachgebieten wie beispielsweise Bauphysik, Chemie, Maschinenbau, Verfahrenstechnik und Informatik. Das Ingenieurbüro Dr. Stiebellehner www.tbi.at erfüllte im Fachgebiet Informatik übrigens als erstes die strengen gewerberechtlichen Auflagen.

Bildmaterial: Bild 1: Dr. Johann Stiebellehner leitet den VÖSI Arbeitskreis „Safety & Security“

Grafik 1: Die Grafik verdeutlicht das enge Zusammenspiel der beiden Aspekte „Safety & Security“ bei der Erstellung von Software