Der Verband Österreichischer Software Industrie (VÖSI) behandelt unter seinem Präsidenten Peter Lieber aktuelle, branchenspezifische Themen in Arbeitskreisen (AK). Einer der jüngsten davon ist der AK „Safety & Security“, der sich dem vieldiskutierten Thema der Sicherheit widmet. Arbeitskreisleiter Dr. Johann Stiebellehner hat dazu mit Unterstützung des VÖSI Präsidenten eine Runde von Spezialisten (u.a. Austrian Institute of Technology AIT, Microsoft, LieberLieber Software, Techtalk etc.) zusammengestellt, die die unterschiedlichen Aspekte dieses umfassenden Gebiets behandeln. Für LieberLieber ist Geschäftsführer Daniel Siegl im Arbeitskreis: „Wir adressieren mit Enterprise Architect und den LieberLieber Erweiterungen LemonTree und Embedded Engineer ganz besonders Bereiche, für die Anforderungen aus dem Bereich „Safety & Security“ zentral sind. Das trifft etwa im Auto-Umfeld auf die Einhaltung der ISO 26262 zu. Daher war es mir ein großes Anliegen, in diesem VÖSI Arbeitskreis aktiv dabei zu sein, um unsere Erfahrungen einbringen und erweitern zu können.“
Hinter den in der englischen Sprache gut unterschiedenen Begriffen Safety und Security stehen grundsätzlich verschiedene Konzepte der Vermeidung und der Vorbeugung. Diese beiden Gebiete wurden bislang oft getrennt betrachtet, durch die zunehmende Vernetzung der IT-Systeme wachsen sie aber gänzlich zusammen. AK-Leiter Stiebellehner: „Durch die wachsende Verschränkung dieser beiden Bereiche müssen wir gerade auch für die Software neue Konzepte entwickeln und testen, um „Safety & Security by Design“ konstruktiv und wohlüberlegt erstellen zu können.“
Softwareentwicklung unterwirft sich ingenieurmäßigen Erwartungen
Bei Planung und Bau eines Hauses werden seit langem viele Sicherheitsaspekte (Fluchtwege = Safety; Gebäudeschutz = Security) „by Design“ sichergestellt. Dies erfolgt durch einschlägige Normen und Vorschriften, die standardmäßig bei der Errichtung eines Gebäudes zu berücksichtigen sind. Der Architekt wird durch ein umfangreiches Set an Erfahrungen und bewährten technischen Richtlinien entlastet und kann sich ganz der gestalterischen Aufgabe widmen. Nun ist es auch für die Softwarebranche an der Zeit, sich mehr in eine von Ingenieursprinzipien geleitete Richtung zu bewegen: „Mittlerweile stellt Software für Unternehmen und den öffentlichen Bereich eine kritische Infrastrukturkomponente dar, und erfordert daher Ingenieursarbeit. Auch bei der Erstellung von Software dürfen wir uns nicht mehr nur um die funktionalen Anforderungen – was soll die Software können – kümmern. Wir müssen wie in vielen anderen Ingenieursberufen seit langem üblich z.B. auch definieren, wie Daten vor unberechtigtem Zugriff geschützt werden können (Security) oder wie das System bei einem bewussten Manipulationsversuch bzw. bei Fehlbedienung reagieren soll (Safety)“, so Stiebellehner.
Verbindung von Safety & Security stärker berücksichtigen
Für die Weiterführung der Arbeit im VÖSI Arbeitskreis sollen nun genau umrissene Arbeitspakete definiert werden, in die sich die Mitwirkenden je nach Expertise unterschiedlich stark involvieren können. „Alle im Arbeitskreis beteiligten Unternehmen bringen unterschiedliches Know-how mit. So konnte LieberLieber etwa im Bereich der modellbasierten Software- und Systementwicklung durch unzählige Industrieprojekte im Bereich der funktionalen Sicherheit große Erfahrungen sammeln. Die wollen wir nun gezielt in die einschlägigen Arbeitspakete einbringen“, so Siegl.
Die Ergebnisse des VÖSI Arbeitskreises „Safety & Security“ sollen die Softwareentwicklung im Bereich der nicht-funktionalen Safety & Security-Anforderungen mit verschiedenen Tools unterstützen:
- Best Practices
- Do‘s and Don`ts in Softwarearchitektur
- Ingenieurmäßige Prinzipien für die Erstellung von Safety & Security in Software
- Messbarkeit von Safety & Security-Kriterien
Über den Verband Österreichischer Software Industrie (VÖSI)
Der Verband Österreichischer Software Industrie ist eine Interessengemeinschaft der bedeutendsten österreichischen IT-Unternehmen. Ziel des 1986 gegründeten VÖSI ist es, die österreichische Software Industrie zu unterstützen und eine starke Interessenvertretung für all jene zu sein, die in dieser zukunftsträchtigen, bewegten Branche arbeiten. Dazu gehört neben einer kontinuierlichen Öffentlichkeitsarbeit auch das Lobbying bei Ämtern, Behörden und Politikern.
www.voesi.or.at