MRMCD 2023

Code und Kekse: Softwaresicherheitsmaßnahmen in mundgerechten Stücken
09-01, 18:00–19:30 (Europe/Berlin), C205 - Brainwasher
Language: Deutsch

Wie bekommt man in einem Großkonzern das unbeliebte Thema Softwaresicherheit umgesetzt? Wir zeigen, wie wir bei DB Vertrieb die Sicherheitsmaßnahmen unseres Softwarelebenszyklus erklären und Unterstützung für die Umsetzung gewinnen.


Softwaresicherheit ist in großen Organisationen ein Thema, das oft wenig Begeisterung in Entwicklungsabteilungen auslöst. Das Backlog ist voll, der Zeitdruck für schnell umzusetzende Sprintziele bestimmt den Alltag und das nächste große Release lässt unbeliebte Themen wie Sicherheit, Wartbarkeit oder Skalierbarkeit in den Hintergrund treten. Um Sicherheit in diesem Spannungsfeld zu gewährleisten, kommt es nicht nur auf das technische Knowhow des Einzelnen an, sondern wir müssen alle Beteiligten abholen, um Sicherheit erfolgreich in die Prozesse der Organisation zu integrieren.
Unser Vortrag zeigt, wie wir Mitarbeitenden der DB Vertrieb mit zwei Plüschmonstern unterhaltsam und ohne mahnenden Zeigefinger die Bestandteile unseres sicheren Softwareentwicklungslebenszyklus vermitteln: In der Parallelstraße der Sesamstraße wurden aus einem smarten Tresor alle Kekse geklaut. Der Lagerverantwortliche Krümel M. fragt sich: Wer macht so etwas? Wie konnte das passieren? Wer trägt Schuld? Glücklicherweise übernimmt Privatdetektiv Sherlock H. die Ermittlungen und zeigt auf, wie Krümel M. künftig Software sicher entwickeln sollte und erklärt wie Sicherheitsmaßnahmen - zum Beispiel Penetration-Tests, statische Codeanalyse, Threat Modeling - funktionieren und warum man diese umsetzen will.

zlasha ist Teilzeitnerd, TUD-Alumnus und hat nach 11 Jahren Beratungstätigkeit zwischen IT-Strategieberatung und Softwareentwicklung den Anzug gegen ein Badge der Deutschen Bahn getauscht. Endlich ohne Krawatte interessiert ihn dort, wie er IT-Sicherheit nachhaltig in die Köpfe von Entscheidern, Entwicklern und Endnutzern bekommt, um eine sichere Unternehmenskultur zu verankern.

Ursprünglich Software-Engineer, dann IT-Sicherheitsberater und mittlerweile Information Security Manager, aber schon immer Nerd mit Spaß am Gerät. Mich interessiert alles im Spannungsfeld von Software und Sicherheit.