Metrohm ist einer der weltweit grössten Hersteller von Hochpräzisionsinstrumenten für die chemische Analytik. Dabei ist es wichtig, dass die Ergebnisse dieser Analysen nicht nur präzise, sondern auch zuverlässig und sicher sind. Die wachsende Bedrohung durch Cyber-Angriffe und zusätzliche regulatorische Anforderungen machen es daher notwendig, die Sicherheit der Software kontinuierlich aufrecht zu halten und an neue Gegebenheiten anzupassen. Angesichts dieser Ausgangslage ist sich Metrohm bewusst, die Prozesse zur Software-Entwicklung so zu gestalten, dass sie alle erforderlichen Elemente zur Gewährleistung der Sicherheit enthalten. Um die Maturität der bereits bestehenden Prozesse zu analysieren und allfälliges Optimierungspotenzial zu identifizieren, wandte sich Metrohm an uns. Lesen Sie in dieser Success Story, wie wir vorgingen und wie Metrohm unsere Zusammenarbeit erlebte.

OWASP SAMM: Der Weg zu sicherer Software

Das OWASP SAMM Modell (Software Assurance Maturity Model) bietet einen strukturierten Ansatz zur Bewertung und Planung von gezielten Massnahmen zur Verbesserung der Software-Entwicklungsprozesse, insbesondere in Bezug auf Secure Coding und die allgemeine Software-Sicherheit. Es zielt darauf ab, Sicherheitsrisiken zu erkennen und zu minimieren und damit einhergehend das Vertrauen der Kunden in die Software zu stärken. Dabei wird der gesamte Software-Entwicklungsprozess ganzheitlich analysiert. Dies umfasst neben dem Design und der Umsetzung von Software auch die Steuerung des gesamten Prozesses, die Überprüfung vor dem Release und den anschliessenden Betrieb.

Das OWASP SAMM-Modell …

• liefert eine objektive und messbare Bewertung des aktuellen Reifegrades der Sicherheit
• deckt Schwachstellen und Verbesserungspotenziale in den Prozessen auf
• hilft, die Sicherheitsaktivitäten zu priorisieren
• ermöglicht eine gezielte und effiziente Verbesserung der Software-Sicherheit
• kann an die individuellen Bedürfnisse der Organisation angepasst werden

Von der Theorie zur Praxis: Durchführung des SAMM-Assessments

Auf der Basis vorhandener Dokumente und mittels Interviews führte Redguard gemeinsam mit verschiedenen, in die Software-Entwicklung involvierten Abteilungen von Metrohm ein umfassendes OWASP SAMM Assessment durch. Basierend auf diesen Informationen entwickelten unsere Sicherheitsspezialisten eine Roadmap zur gezielten Verbesserung der Sicherheit in den Software-Entwicklungsprozessen von Metrohm. Um optimale Ergebnisse zu erzielen, berücksichtigt diese Roadmap die spezifischen Gegebenheiten von Metrohm, um gezielt Schwerpunkte zu setzen.

Diese begleitete Durchführung des Assessments ermöglichte es Metrohm, den aktuellen Reifegrad der Sicherheitsmassnahmen in den unterschiedlichen Bereichen ihrer Software-Entwicklung zu verstehen und Bereiche zu identifizieren, die verbessert werden können. Basierend auf den Ergebnissen des Assessments definierten und priorisierten wir gemeinsam konkrete Umsetzungsmassnahmen. Im Anschluss wurden einige der definierten Massnahmen direkt umgesetzt, teilweise mit der Unterstützung unserer Sicherheitsspezialisten.

«Die Zusammenarbeit mit Redguard ermöglichte es uns, den aktuellen Stand der Cyber Security innerhalb unserer Entwicklungsprozesse zu bewerten und eine Roadmap zu formulieren, die unserem Kontext entspricht.» Patrick Geiger, RTE, Software Abteilung, Metrohm

Ob Secure Coding, DevSecOps, OWASP SAMM, Security E-Learnings wie zu OWASP Top 10 oder Hybrid-Trainings über Secure Development – Redguard ist Ihr Partner für sichere Software-Entwicklung. Kontaktieren Sie uns noch heute für eine unverbindliche Beratung!