03. März 2022

So sorgt Commend für sichere, vertrauenswürdige Kommunikation

Wir entwerfen und betreiben unsere Commend Symphony Services (z. B. die Symphony Türruf-Lösung) von Grund auf nach dem Prinzip ‚Security by Design‘. Als zentrales Element unserer ‚Defence In-Depth Strategy‘ ist Cyber-Sicherheit fester Bestandteil all unserer Entwicklungen. Nach diesem Grundsatz leben wir auch im eigenen Unternehmen. Deshalb lassen wir unsere Betriebsprozesse von unabhängigen Gutachtern regelmäßig nach strengen Normen und Standards zertifizieren. Zum Beispiel nach IEC 62443, dem internationalen Sicherheitsstandard der Anforderungen für sichere Entwicklungsprozesse.

Wie funktioniert all das in der Praxis? Werfen wir dazu einen Blick ins Commend Symphony Entwicklungslabor.

Commend Design, Development & Operation: Security Inside

Bei der Entwicklung von Symphony als ‚Cloud native‘ Plattform für unsere Lösungen standen zwei Dinge von Anfang an fest:

Erstens: der Aufbau einer neuen Plattform auf der Grundlage der neuesten, leistungsstarken Cloud-Technologien ermöglicht bislang ungeahnte Möglichkeiten in Sachen Wartung, Skalierbarkeit, Benutzerfreundlichkeit und Cybersicherheit – konkret: vertrauenswürdige Commend Kommunikation!

Zweitens: das Projekt war der Anlass zum Umstieg auf eine voll ‚agile‘ Vorgehensweise in Sachen Planung, Entwicklung, Absicherung und sogar Betrieb der Symphony Lösungen unserer Kunden. Das dahinter stehende Prinzip heißt ‚DevSecOps‘ (eine Abkürzung für ‚Development – Security – Operations‘, d. h. holistische ‚Entwicklung, Sicherheit und Betrieb‘). Einfach ausgedrückt: „Wir bauen die Lösung. Wir betreiben sie. Wir sorgen für die Sicherheit.“ Kunden ersparen sich also die Anschaffung und Betrieb eines eigenen Systems. Denn ein Symphony Servicepaket deckt alles über die Symphony Cloud ab – Sicherheit inklusive.

Wie kommt Sicherheit („Sec[urity]“) in Commend „DevSecOps“-Prozesse?

Wie das Diagramm zeigt, schlägt die Geburtsstunde eines neuen Symphony Service oder Features in einem ‚klassischen‘ Entwicklungs-Subprozess. Dieser führt von der Planung bis zur Vorproduktion und beinhaltet eine Prüfungs-/Analyse-Schleife zur Qualitätsoptimierung. Auf der Betriebsseite umfasst der Prozess alle Bereiche von der Konfiguration und Problem-Feststellung bzw. Behebung bis zur Erhebung neuer Anforderungen. Die Ergebnisse fließen dann in das nächste Release ein, und der Zyklus beginnt von Neuem.

Bevor eine neu entwickelte Komponente in die Produktivumgebung entlassen wird, muss sie eine strenge Sicherheitsbewertung und rigorose Testzyklen (= ‚Sec‘-Teil von ‚DevSecOps‘) bestehen. Nur so lässt sich langfristig eine voll integrierte, tiefgreifende Cyber-Sicherheit gewährleisten.

Cyberabwehr, echt agil

Das DevSecOps-Verfahren gibt den Symphony Entwicklungsteams ein mächtiges Prozess- und Steuerungsinstrument an die Hand. Das damit erzielte Entwicklungstempo und Cyber-Sicherheits-Niveau war vor wenigen Jahren noch undenkbar.

Sicherheitsrelevante Features werden auf einem komplett gespiegelten Testsystem entwickelt und getestet. Nach einer Änderung lässt sich das gesamte System nach Bedarf sofort per Mausklick auf einen früheren Zustand zurücksetzen.
Das ermöglicht extrem genaue, schnelle und effiziente Testabläufe (Pen-Tests, Bedrohungsanalysen, etc.) in beliebigen Szenarien – und das bis zur kleinsten Datenbankabfrage und Konfigurationseinstellung.
Sicherheitsschwachstellen lassen sich auf diese Weise im Handumdrehen direkt am System bearbeiten, statt Patches und Hotfixes darüber zu pflastern: ‚Security by Design“, wie es sein soll!
IEC 62443-konforme Prozesse für Softwarekomponenten-Analyse, Quellcodeprüfung und Sicherheitsüberwachung helfen uns außerdem bei der laufenden Cyberrisiko-Bewertung. Jüngstes Beispiel: die log4j Schwachstelle, die erst unlängst für Aufregung in der IT-Welt sorgte. Hier konnten wir unseren Kunden in kürzester Zeit dank der koordinierten Prozesse unseres Security Advisory Programms jede Unsicherheit nehmen.
Sind alle Tests erfolgreich abgeschlossen, kann das gesamte System sofort in die Produktivumgebung der Symphony Cloud gespiegelt werden. Volle System-Updates sind auf diese Weise im Nu eingespielt – und Symphony-Benutzer können sofort von neuen Funktionen und verstärkten Cyber-Anwehrmechanismen profitieren.

Wollen Sie auch profitieren und mehr über die Welt der Symphony Services erfahren? Ihr örtlicher Commend Partner berät Sie gerne und arrangiert für Sie auf Wunsch auch gerne eine persönliche Demonstration.

Alle News