Fraunhofer-Institut für Offene Kommunikationssysteme
Fraunhofer-Institut für Offene Kommunikationssysteme

Zertifizierungsrichtlinien für Software-Hersteller (Scrum)

Certification Guidelines for Software Developers using Scrum, kurz: CertGuideScrum

© akinbostanci / iStock

Ausgangslage & Aufgabe

Agile Methoden wie Scrum prägen heute große Teile der Softwareentwicklung. Gleichzeitig sind Sicherheitszertifizierungen nach Common Criteria (CC) ein zentraler Baustein für Vertrauen in IT-Produkte – in Deutschland, Europa und weltweit.

Zwischen beiden Welten entsteht jedoch ein gewisses Spannungsverhältnis: Die CC-Zertifizierung folgt in ihrer Struktur und ihren Anforderungen klassischerweise dem Wasserfallmodell. Sie setzt auf eine eher lineare Abfolge, bei der eine klar definierte Produktbeschreibung (Security Target) und festgelegte Sicherheitsfunktionen die Basis für umfangreiche, statische Nachweise bilden.

Agile Entwicklungsprozesse hingegen sind auf Evolution ausgelegt. Sie setzen auf kurze Sprints, flexible Planung und schlanke Dokumentation, die mit dem Produkt wächst. Der eher starre Dokumentations- und Prüfungsansatz der Common Criteria trifft auf die dynamische Realität von Scrum.

Dadurch stellt sich die Frage: Wie können IT-Sicherheitsprodukte, die agil (insb. mit Scrum) entwickelt werden, effizient und sicher nach Common Criteria zertifiziert werden – ohne unnötigen Mehraufwand und ohne Qualitätseinbußen? Diese Frage soll Fraunhofer FOKUS im Projekt »CertGuideScrum« für das Bundesamt für Sicherheit in der Informationstechnik (BSI) beantworten.

 

Lösungsansatz und technische Umsetzung

Im Projekt untersucht Fraunhofer FOKUS, wie agile Entwicklungsprozesse – insbesondere Scrum – mit der Sicherheitszertifizierung nach Common Criteria in Einklang gebracht werden können.

Zentrale Ziele sind:

· Herausforderungen und Barrieren bei der CC-Zertifizierung von agil entwickelten IT-Produkten zu identifizieren sowie

· die Potenziale agiler Methoden im Zertifizierungskontext sichtbar zu machen.

Die Ergebnisse sollen dazu beitragen, dass moderne Entwicklungsansätze und etablierte Sicherheitsstandards besser zusammenfinden und sich gegenseitig stärken. Um das erforderliche Wissen zu generieren, setzt das Fraunhofer-Team dabei sowohl auf qualitative Interviews mit Herstellern und Prüfstellen zu praktischen Erfahrungen, Problemen und erfolgreichen Lösungswegen. CertGuideScrum wird damit einen Beitrag dazu leisten, dass Sicherheitszertifizierungen nach Common Criteria für moderne Entwicklungsmodelle geöffnet werden – ohne das Sicherheitsniveau zu senken, aber mit mehr Effizienz, Transparenz und Praxistauglichkeit.