ZF setzt auf richtige Prozesse für sichere Applikation

Integration der Anwendungsentwicklung in das Information Security Management System

Automobilzulieferer ZF hat die IT-Sicherheit und so­mit die Betriebssicherheit seiner Anwendungen deutlich erhöht: HPE hat dafür sämtliche Regeln und Prozesse rund um die Anwendungsentwicklung auf den Prüfstand gestellt und optimiert. Durch diesen ganzheitlichen Beratungsansatz sieht sich ZF gut aufgestellt im Hinblick auf neue strategische Applikationen für Industrie 4.0 und Car-IT.

Herausforderung: Mehr Sicherheit für die eigenentwickelten Anwendungen

„ZF gehört seit der Übernahme von TRW zu den größten Automobilzulieferern weltweit. Seitdem ist das öffentliche Interesse an uns deutlich größer geworden – und somit auch das Interesse von Hackern“, sagt Reiner Schaaf, Leiter Cross Application Supply bei ZF. Angriffe von außen registriert ZF im Minutentakt. „Die Angriffslage wird zuneh­mend komplexer. Außerdem gibt es immer mehr Anwendungen außerhalb unserer wFirewall. Deshalb hat uns der Vorstand den Auftrag erteilt, die IT sicherer zu machen“, erklärt Michael Schrank, Head of IT Security.

Auf Seiten der IT-Infrastruktur war das Unternehmen sicher, schon in der Vergan­genheit die richtigen Prozesse eingezogen zu haben. „Doch uns war klar, dass wir noch zu wenig Augenmerk auf das Thema Anwendungsentwicklung gelegt haben“, so Schrank.

IT-Sicherheit und Anwendungsentwicklung waren bis zu diesem Projekt in unterschiedlichen Organisationen verankert – ohne Schnittmengen. Critical Design Reviews der Applikationen fanden erst kurz vor dem Zeitpunkt statt, als die Systeme in den Regelbetrieb gehen sollten. Ergaben sich dabei kritische Punkte hinsichtlich der IT-Sicherheit, so musste man den Termin für das Go-Live entweder verschieben, um die Software nachzubessern, oder man nahm die Risiken in Kauf. In Einzelfällen musste das Projekt sogar komplett gestoppt werden. Deshalb lautete die Aufgabe, die Anwendungsentwicklung in das Information Security Management System zu integrieren.

Da ZF im Infrastrukturbereich bereits seit längerem mit HPE zusammenarbeitet, holte man auch hier die Expertise des IT-Anbieters ein: „Ich fand es sehr hilfreich, dass HPE eine Struktur und ein standardisiertes Vorgehen für solche Projekte hatte – über eine gemeinsamen Prozessanalyse, um Schwachstellen aufzudecken, über die Ausarbeitung von Maßnahmenplänen bis hin zur Einführung notweniger Prozesse“, erinnert sich Schrank. „Mir hat schon bei der Präsentation von HPE der ganzheitliche Ansatz gefallen, und auch die Methodik fand ich sehr hilfreich“, ergänzt Schaaf.

Lösung: Ganzheitlicher Beratungsansatz von HPE

Die Methodik hieß: HPE erhob zunächst auf Basis eines standardisierten Fragenkatalogs den aktuellen Reifegrad von insgesamt 16 Prozessen, um den Status-Quo bei ZF zu eruieren. Dazu gehören die Beschaffung  etwa von Services und Dienstleistungen über Testsysteme und -daten, Zugriffsberechtigungen  und Sicherheitsanalysen  bis hin zu zum Security Incident Management und die Abstimmung zwischen Anwen- dungsentwicklung und Business. Die Ergebnisse der Analyse hat HPE nach dem Reifegradmodell Capability Maturity Model Integration (CMMI) in einem Spinnennetzdiagramm dargestellt. 

Die Ergebnisse – von einem empfohlenen CMMI-Durchschnittswert von 3,0 über alle Prozesse hinweg war man zum Teil deutlich entfernt – überraschten die Verantwortlichen bei ZF nicht: „Uns war im Vorfeld ja klar gewesen, dass die Prozessreife der Anwen- dungssicherheit verbesserungswürdig war, da wir in der Vergangenheit keinen Schwerpunkt auf das Thema gelegt hatten“, betont Schrank. Schaaf bestätigt diese Einschätzung: „Diesen transparenten Blick auf unsere Prozesse haben wir nicht als Schwäche empfunden, sondern als Hilfestellung. Wir wussten jetzt, wo wir konkret ansetzen mussten und bei welchen Punkten wir besonderen Nachholbedarf hatten.“

Maßgeschneiderter 18-Monatsplan

Von diesem Ergebnis ausgehend definierten ZF und HPE die Projektziele: Für die Anwendungsentwicklung sollten Security- Richtlinien in Projekten und Kleinaufträgen sowie relevante Sicherheitsaspekte in verschiedenen Prozessen wie Quality Management oder Demand Management verankert werden. Es galt, Tools zur Unterstützung der Sicherheit in der Anwendungsentwicklung zu evaluieren und festzulegen. Ziel war es auch, Schulungen und kontinuierliche Awareness-Maßnahmen zu konzipieren und zu erproben. Und schließlich war es den Projektpartnern wichtig, die Governance – also Aufgaben, Kompetenzen und Verantwortungen für eine nachhaltige Sicherung der Anwendungsentwicklung festzulegen.

Das Budget für dieses sogenannte PISA- Projekt (Professional Information Security for Applications) wurde veranschlagt und ein detaillierter Zeitplan, der sich über insgesamt 18 Monate erstreckte, ausgearbeitet. Zu den ersten Aufgaben von HPE gehörte die Entwicklung eines Entwurfs zur Erweiterung der IT-Security-Strategie mit Themen der Anwendungsentwicklung, der gemeinsam mit ZF diskutiert und beschlossen wurde. Anschließend wurden gemeinsam Security- Regeln sowie –Prozesse für die Anwen- dungsentwicklung festgelegt. Zeitgleich mit dem Ausrollen von Regeln und Prozessen erfolgten Schulungs- und Awareness-Maßnahmen auf allen Ebenen bei ZF – vom Top-Management bis zum einzelnen Anwendungsentwickler.

Fachwissen der HPE-Berater beschleunigt das Projekt

„Bei all dem hat uns das große Fachwissen der HPE-Berater enorm weitergeholfen“, lobt Schrank, Head of IT Security. Als Beispiel führt er die neuen Entwicklungsleitfäden für Web-, SAP- und PLM-Anwendungen an, auf welche die Entwickler bei ihrer Arbeit schnell zurückgreifen konnten. „Stark entlastet hat uns auch, dass die Consultants von HPE Schulungspläne und ähnliches entwickelt haben.“ Bestandteil des PISA-Projekts war schließlich auch die Anpassung beziehungsweise die Auswahl von Tools zur Unterstützung der Security-Policies und -Prozesse: So hat ZF sowohl für die SAP- als auch für die Nicht-SAP-Welt jeweils zwei Plattformen für das Source-Code-Scanning eingeführt: Virtual Forge und SAP CVA sind dies für die SAP-Welt sowie HPE Fortify und Veracode für alle anderen Anwendungen. Das PISA-Projekt genoss während der gesamten Laufzeit sehr hohe Priorität bei ZF: Der Vorstand wurde regelmäßig über den Stand des Projekts informiert, und viele Manager hatten die Projektziele in ihren Zielvereinbarungen fixiert.

Das Projekt ging wie geplant über die Bühne – sowohl den Budget- als auch den Zeitrah- men betreffend. Dies freut vor allem Thilo Münstermann, den PISA-Gesamtprojektleiter bei ZF: „Das Projekt insgesamt verlief in der Zusammenarbeit mit HPE sehr gut. Das Projekt folgte dem Plan und der Plan war aus unserer Sicht musterhaft – insbesondere auch vor dem Hintergrund der hohen Komplexität. Da hat HPE sehr gute Arbeit geleistet.“ Als Erfolgsfaktoren identifiziert er vor allem das fachliche Know-how und das stringente Projektmanagement auf Seiten von HPE.

Transparentes Projektmanagement

Als weiteren Pluspunkt im PISA-Projekt verbucht Münstermann die offene Kommunikation zwischen ZF und HPE. „Die Abstimmung zwischen mir und dem HPE-Projektleiter war immer sehr eng. Alle zwei Wochen gab es einen Jour Fixe, bei dem wir dem Review-Kreis Ergebnisse präsentiert haben. Darüber hinaus haben wir uns regelmäßig bilateral abgestimmt, sozusagen auf dem kurzen Dienstweg. Dadurch hatten wir immer beide ein gutes und aktuelles Bild, wo wir gerade im Projekt stehen, woran wir arbeiten und was die nächsten Themen sind.“

Transparent war auch die Budgetplanung durch Tätigkeitsnachweise sowie durch kontinuierliche Abschätzungen dessen, welche Kosten noch auf ZF zukommen – und welche trotz Budgetierung nicht ausgeschöpft werden mussten. Münstermann: „HPE hat ihre Tätigkeiten immer transparent gemacht, sodass ich immer wusste, wie viel Aufwand bereits erfolgt ist und in Zukunft noch benötigt wird. Das hat ein sehr gutes Gefühl hinterlassen.“

Vorteile: Anwendungssicherheit in der Organisation nachhaltig verankert

Nachdem das Projekt abgeschlossen ist, werden die neu eingezogenen Regeln und Prozesse nun im täglichen Betrieb umgesetzt – mit Erfolg, wie die aktuelle Einschätzung des derzeitigen Status nach dem CMMI-Modell zeigt: Demnach hat sich der Reifegrad von ZF bei den meisten Prozessen deutlich verbessert; der anvisierte Reifegrad 3 wird bereits erreicht und in machen Aspekten sogar übertroffen. Ein Maturity-Assessment durch HPE in ein bis zwei Jahren soll Aufschluss über die weitere Entwicklung geben.

„Wir haben durch die Integration der Anwendungsentwicklung in das IT Security Management System definitiv unsere Betriebssicherheit gesteigert und damit die Verfügbarkeit von geschäftskritischen Systemen erhöht“, sagt Schaaf. „HPE hat uns bestätigt, dass wir im Vergleich zu anderen Unternehmen nun ein sehr hohes Maß an Sicherheit in unserer Anwendungslandschaft appliziert haben.“ Sehr positiv sieht er es, dass das Thema Anwendungssicherheit nun in der gesamten Organisation nachhaltig verankert ist.

Diese Einschätzung teilt Schrank: „HPE hat durch den umfassenden Ansatz, das professionelle Vorgehen und die großen Erfahrungen im Projekt entscheidend dazu beigetragen, dass das Thema Sicherheit in der Anwendungsentwicklung langfristig in allen Köpfen bei ZF verankert ist und bleibt. Letztlich hat uns HPE so gut beraten, begleitet und gecoacht, dass wir bei dem Thema nun selbst sehr gut aufgestellt sind.“

Dies ist für den Head of IT Security auch wichtig vor dem Hintergrund neuer strategi- scher IT-Themen, die ZF aktuell aufgreift: Dazu gehören neben Industrie 4.0, also der Vernetzung der eigenen Fertigung, auch Car-IT sowie die Entwicklung neuer Geschäftsfelder. So hat ZF mit uflip eine Mobilitäts-App auf den Markt gebracht, die auf Basis von Echtzeitdaten die schnellste und günstigste Route aus verschiedenen Mitfahrgelegenheiten und öffentlichem Personennahverkehr in Kombination mit einer intelligenten Parkplatzsuche ermittelt.

 „Solche neuen Applikationen für oder rund um das Auto stellen wir Konsumenten außerhalb unserer Firewall zur Verfügung. Dies erfordert eine noch höhere Sensibilität in Bezug auf die Anwendungssicherheit“, sagt Schrank. „Doch ich bin mir sicher, dass wir durch das erfolgreiche PISA-Projekt die richtigen Voraussetzungen dafür geschaffen haben.“

Automobilzulieferer ZF hat die IT-Sicherheit und so­mit die Betriebssicherheit seiner Anwendungen deutlich erhöht: HPE hat dafür sämtliche Regeln und Prozesse rund um die Anwendungsentwicklung auf den Prüfstand gestellt und optimiert. Durch diesen ganzheitlichen Beratungsansatz sieht sich ZF gut aufgestellt im Hinblick auf neue strategische Applikationen für Industrie 4.0 und Car-IT.

Herausforderung: Mehr Sicherheit für die eigenentwickelten Anwendungen

„ZF gehört seit der Übernahme von TRW zu den größten Automobilzulieferern weltweit. Seitdem ist das öffentliche Interesse an uns deutlich größer geworden – und somit auch das Interesse von Hackern“, sagt Reiner Schaaf, Leiter Cross Application Supply bei ZF. Angriffe von außen registriert ZF im Minutentakt. „Die Angriffslage wird zuneh­mend komplexer. Außerdem gibt es immer mehr Anwendungen außerhalb unserer wFirewall. Deshalb hat uns der Vorstand den Auftrag erteilt, die IT sicherer zu machen“, erklärt Michael Schrank, Head of IT Security.

Auf Seiten der IT-Infrastruktur war das Unternehmen sicher, schon in der Vergan­genheit die richtigen Prozesse eingezogen zu haben. „Doch uns war klar, dass wir noch zu wenig Augenmerk auf das Thema Anwendungsentwicklung gelegt haben“, so Schrank.

IT-Sicherheit und Anwendungsentwicklung waren bis zu diesem Projekt in unterschiedlichen Organisationen verankert – ohne Schnittmengen. Critical Design Reviews der Applikationen fanden erst kurz vor dem Zeitpunkt statt, als die Systeme in den Regelbetrieb gehen sollten. Ergaben sich dabei kritische Punkte hinsichtlich der IT-Sicherheit, so musste man den Termin für das Go-Live entweder verschieben, um die Software nachzubessern, oder man nahm die Risiken in Kauf. In Einzelfällen musste das Projekt sogar komplett gestoppt werden. Deshalb lautete die Aufgabe, die Anwendungsentwicklung in das Information Security Management System zu integrieren.

Da ZF im Infrastrukturbereich bereits seit längerem mit HPE zusammenarbeitet, holte man auch hier die Expertise des IT-Anbieters ein: „Ich fand es sehr hilfreich, dass HPE eine Struktur und ein standardisiertes Vorgehen für solche Projekte hatte – über eine gemeinsamen Prozessanalyse, um Schwachstellen aufzudecken, über die Ausarbeitung von Maßnahmenplänen bis hin zur Einführung notweniger Prozesse“, erinnert sich Schrank. „Mir hat schon bei der Präsentation von HPE der ganzheitliche Ansatz gefallen, und auch die Methodik fand ich sehr hilfreich“, ergänzt Schaaf.

Lösung: Ganzheitlicher Beratungsansatz von HPE

Die Methodik hieß: HPE erhob zunächst auf Basis eines standardisierten Fragenkatalogs den aktuellen Reifegrad von insgesamt 16 Prozessen, um den Status-Quo bei ZF zu eruieren. Dazu gehören die Beschaffung  etwa von Services und Dienstleistungen über Testsysteme und -daten, Zugriffsberechtigungen  und Sicherheitsanalysen  bis hin zu zum Security Incident Management und die Abstimmung zwischen Anwen- dungsentwicklung und Business. Die Ergebnisse der Analyse hat HPE nach dem Reifegradmodell Capability Maturity Model Integration (CMMI) in einem Spinnennetzdiagramm dargestellt. 

Die Ergebnisse – von einem empfohlenen CMMI-Durchschnittswert von 3,0 über alle Prozesse hinweg war man zum Teil deutlich entfernt – überraschten die Verantwortlichen bei ZF nicht: „Uns war im Vorfeld ja klar gewesen, dass die Prozessreife der Anwen- dungssicherheit verbesserungswürdig war, da wir in der Vergangenheit keinen Schwerpunkt auf das Thema gelegt hatten“, betont Schrank. Schaaf bestätigt diese Einschätzung: „Diesen transparenten Blick auf unsere Prozesse haben wir nicht als Schwäche empfunden, sondern als Hilfestellung. Wir wussten jetzt, wo wir konkret ansetzen mussten und bei welchen Punkten wir besonderen Nachholbedarf hatten.“

Maßgeschneiderter 18-Monatsplan

Von diesem Ergebnis ausgehend definierten ZF und HPE die Projektziele: Für die Anwendungsentwicklung sollten Security- Richtlinien in Projekten und Kleinaufträgen sowie relevante Sicherheitsaspekte in verschiedenen Prozessen wie Quality Management oder Demand Management verankert werden. Es galt, Tools zur Unterstützung der Sicherheit in der Anwendungsentwicklung zu evaluieren und festzulegen. Ziel war es auch, Schulungen und kontinuierliche Awareness-Maßnahmen zu konzipieren und zu erproben. Und schließlich war es den Projektpartnern wichtig, die Governance – also Aufgaben, Kompetenzen und Verantwortungen für eine nachhaltige Sicherung der Anwendungsentwicklung festzulegen.

Das Budget für dieses sogenannte PISA- Projekt (Professional Information Security for Applications) wurde veranschlagt und ein detaillierter Zeitplan, der sich über insgesamt 18 Monate erstreckte, ausgearbeitet. Zu den ersten Aufgaben von HPE gehörte die Entwicklung eines Entwurfs zur Erweiterung der IT-Security-Strategie mit Themen der Anwendungsentwicklung, der gemeinsam mit ZF diskutiert und beschlossen wurde. Anschließend wurden gemeinsam Security- Regeln sowie –Prozesse für die Anwen- dungsentwicklung festgelegt. Zeitgleich mit dem Ausrollen von Regeln und Prozessen erfolgten Schulungs- und Awareness-Maßnahmen auf allen Ebenen bei ZF – vom Top-Management bis zum einzelnen Anwendungsentwickler.

Fachwissen der HPE-Berater beschleunigt das Projekt

„Bei all dem hat uns das große Fachwissen der HPE-Berater enorm weitergeholfen“, lobt Schrank, Head of IT Security. Als Beispiel führt er die neuen Entwicklungsleitfäden für Web-, SAP- und PLM-Anwendungen an, auf welche die Entwickler bei ihrer Arbeit schnell zurückgreifen konnten. „Stark entlastet hat uns auch, dass die Consultants von HPE Schulungspläne und ähnliches entwickelt haben.“ Bestandteil des PISA-Projekts war schließlich auch die Anpassung beziehungsweise die Auswahl von Tools zur Unterstützung der Security-Policies und -Prozesse: So hat ZF sowohl für die SAP- als auch für die Nicht-SAP-Welt jeweils zwei Plattformen für das Source-Code-Scanning eingeführt: Virtual Forge und SAP CVA sind dies für die SAP-Welt sowie HPE Fortify und Veracode für alle anderen Anwendungen. Das PISA-Projekt genoss während der gesamten Laufzeit sehr hohe Priorität bei ZF: Der Vorstand wurde regelmäßig über den Stand des Projekts informiert, und viele Manager hatten die Projektziele in ihren Zielvereinbarungen fixiert.

Das Projekt ging wie geplant über die Bühne – sowohl den Budget- als auch den Zeitrah- men betreffend. Dies freut vor allem Thilo Münstermann, den PISA-Gesamtprojektleiter bei ZF: „Das Projekt insgesamt verlief in der Zusammenarbeit mit HPE sehr gut. Das Projekt folgte dem Plan und der Plan war aus unserer Sicht musterhaft – insbesondere auch vor dem Hintergrund der hohen Komplexität. Da hat HPE sehr gute Arbeit geleistet.“ Als Erfolgsfaktoren identifiziert er vor allem das fachliche Know-how und das stringente Projektmanagement auf Seiten von HPE.

Transparentes Projektmanagement

Als weiteren Pluspunkt im PISA-Projekt verbucht Münstermann die offene Kommunikation zwischen ZF und HPE. „Die Abstimmung zwischen mir und dem HPE-Projektleiter war immer sehr eng. Alle zwei Wochen gab es einen Jour Fixe, bei dem wir dem Review-Kreis Ergebnisse präsentiert haben. Darüber hinaus haben wir uns regelmäßig bilateral abgestimmt, sozusagen auf dem kurzen Dienstweg. Dadurch hatten wir immer beide ein gutes und aktuelles Bild, wo wir gerade im Projekt stehen, woran wir arbeiten und was die nächsten Themen sind.“

Transparent war auch die Budgetplanung durch Tätigkeitsnachweise sowie durch kontinuierliche Abschätzungen dessen, welche Kosten noch auf ZF zukommen – und welche trotz Budgetierung nicht ausgeschöpft werden mussten. Münstermann: „HPE hat ihre Tätigkeiten immer transparent gemacht, sodass ich immer wusste, wie viel Aufwand bereits erfolgt ist und in Zukunft noch benötigt wird. Das hat ein sehr gutes Gefühl hinterlassen.“

Vorteile: Anwendungssicherheit in der Orga- nisation nachhaltig verankert

Nachdem das Projekt abgeschlossen ist, werden die neu eingezogenen Regeln und Prozesse nun im täglichen Betrieb umgesetzt – mit Erfolg, wie die aktuelle Einschätzung des derzeitigen Status nach dem CMMI-Modell zeigt: Demnach hat sich der Reifegrad von ZF bei den meisten Prozessen deutlich verbessert; der anvisierte Reifegrad 3 wird bereits erreicht und in machen Aspekten sogar übertroffen. Ein Maturity-Assessment durch HPE in ein bis zwei Jahren soll Aufschluss über die weitere Entwicklung geben.

„Wir haben durch die Integration der Anwendungsentwicklung in das IT Security Management System definitiv unsere Betriebssicherheit gesteigert und damit die Verfügbarkeit von geschäftskritischen Systemen erhöht“, sagt Schaaf. „HPE hat uns bestätigt, dass wir im Vergleich zu anderen Unternehmen nun ein sehr hohes Maß an Sicherheit in unserer Anwendungslandschaft appliziert haben.“ Sehr positiv sieht er es, dass das Thema Anwendungssicherheit nun in der gesamten Organisation nachhaltig verankert ist.

Diese Einschätzung teilt Schrank: „HPE hat durch den umfassenden Ansatz, das professionelle Vorgehen und die großen Erfahrungen im Projekt entscheidend dazu beigetragen, dass das Thema Sicherheit in der Anwendungsentwicklung langfristig in allen Köpfen bei ZF verankert ist und bleibt. Letztlich hat uns HPE so gut beraten, begleitet und gecoacht, dass wir bei dem Thema nun selbst sehr gut aufgestellt sind.“

Dies ist für den Head of IT Security auch wichtig vor dem Hintergrund neuer strategi- scher IT-Themen, die ZF aktuell aufgreift: Dazu gehören neben Industrie 4.0, also der Vernetzung der eigenen Fertigung, auch Car-IT sowie die Entwicklung neuer Geschäftsfelder. So hat ZF mit uflip eine Mobilitäts-App auf den Markt gebracht, die auf Basis von Echtzeitdaten die schnellste und günstigste Route aus verschiedenen Mitfahrgelegenheiten und öffentlichem Personennahverkehr in Kombination mit einer intelligenten Parkplatzsuche ermittelt.

 „Solche neuen Applikationen für oder rund um das Auto stellen wir Konsumenten außerhalb unserer Firewall zur Verfügung. Dies erfordert eine noch höhere Sensibilität in Bezug auf die Anwendungssicherheit“, sagt Schrank. „Doch ich bin mir sicher, dass wir durch das erfolgreiche PISA-Projekt die richtigen Voraussetzungen dafür geschaffen haben.“

Sie wollen mehr zum Thema IT-Security erfahren?

Erfahren Sie jetzt mehr zu den Herausforderungen im Zusammenhang mit IT-Security und Risk-Management. Downloaden Sie jetzt kostenlos die Studie und erhalten Sie fundierte Informationen zum Thema IT-Security.
Jetzt Studie downloaden

Mehr zum Thema Security Management System

This is some text inside of a div block.

Kommentare

Das könnte Sie auch interessieren ...

Mehr zum Thema Security Management System

This is some text inside of a div block.

Mehr zum Thema Security Management System

Sie stehen vor einer Management-Herausforderung zum Thema IT-Security? Dann nehmen Sie Kontakt zu unseren Experten auf!