Wichtigste Erkenntnisse

Die Kamer van Koophandel (KVK) hat ein modernes, entwicklerorientiertes Sicherheitsprogramm aufgebaut, das als Vorbild für die Branche gilt. In Zusammenarbeit mit Secure Code Warrior hat die KVK sichere Codierungspraktiken in die täglichen Entwicklungsabläufe integriert, ein strukturiertes Zertifizierungsprogramm eingeführt, das von der gesamten Organisation angenommen wurde, und eine messbare Risikominderung erreicht, die die Wirksamkeit eines proaktiven, entwicklerorientierten Sicherheitsansatzes demonstriert. Zu den Höhepunkten gehören:

„Wir hatten bereits eine starke Sicherheitsgrundlage, wollten aber noch einen Schritt weiter gehen und Sicherheit für jeden Entwickler zur Selbstverständlichkeit machen. Deshalb sind wir eine Partnerschaft mit Secure Code Warrior eingegangen Secure Code Warrior haben die Weiterbildung zum Eckpfeiler unserer Strategie gemacht, damit unsere Teams von Anfang an sicher und selbstbewusst sichere Software entwickeln können.“

– Sebastiaan Rijnbout, Produktverantwortlicher für Entwicklungsdienstleistungen

Die Herausforderung

Entwicklerorientierte Sicherheitsmentalität schaffen

Die niederländische Handelskammer KVK spielt eine zentrale Rolle bei der Unterstützung von Unternehmern in den Niederlanden. Als offizielle Stelle, die für die Registrierung von Unternehmen, juristischen Personen und Organisationen mit wirtschaftlicher Tätigkeit zuständig ist, fördert die KVK die Transparenz und stärkt die Integrität des wirtschaftlichen Ökosystems. Über die Registrierung hinaus bietet die KVK wertvolle Informationen und Beratung zu wichtigen unternehmerischen Themen, von rechtlichen und regulatorischen Leitlinien bis hin zu Einblicken in die Finanzierung, aktuelle Entwicklungen und Cybersicherheit. Durch die Bereitstellung zuverlässiger Daten und die Zusammenarbeit mit nationalen und regionalen Wirtschaftsakteuren trägt die KVK dazu bei, ein sicheres und gut informiertes Umfeld zu schaffen, in dem Unternehmer erfolgreich sein können. Als die KVK begann, die Anwendungssicherheit weiter zu verbessern, hatte sie bereits grundlegende Sicherheitsmaßnahmen eingeführt, darunter Penetrationstests. Diese Maßnahmen lieferten zwar wertvolle Erkenntnisse, aber die KVK sah eine Möglichkeit, die Sicherheit bereits in einer früheren Phase des Entwicklungszyklus zu skalieren und Entwicklern die Möglichkeit zu geben, selbst Verantwortung für die Risikominderung zu übernehmen.

Im Jahr 2022 entschied sich KVK für Secure Code Warrior startete seine erste Schulungsinitiative zum Thema sicheres Codieren mit einem entwicklerorientierten Ansatz. Was als Basisinitiative zur Einbindung von Entwicklern begann, entwickelte sich schnell zu einem funktionsübergreifenden Programm, das von der Unternehmensleitung und dem CISO-Büro unterstützt wurde und sicheres Entwickeln von einem Wunschziel zu einem Unternehmensstandard machte.

Die Lösung

Eine Kultur aufbauen, nicht nur ein Programm

Mit Unterstützung des CISO Secure Code Warrior das Team für sichere Softwareentwicklungsprozesse von KVK in Zusammenarbeit mit Secure Code Warrior eine unternehmensweite Strategie definiert und ein obligatorisches, rollenbasiertes Zertifizierungsprogramm entwickelt, das folgende Ziele verfolgt:

KVK nutzte die Flexibilität der Plattform Secure Code Warrior, um ein Zertifizierungsprogramm zu entwickeln, das auf die besonderen Anforderungen des Unternehmens zugeschnitten ist. Durch die Zuordnung von Schulungsprogrammen zu bestimmten Rollen beginnen neue Mitarbeiter mit einer OWASP Top 10-Sensibilisierungsschulung, während erfahrene Ingenieure sich mit fortgeschrittenen, szenariobasierten Übungen befassen, die auf reale Arbeitsabläufe abgestimmt sind. Entwickler auf Champion-Niveau betreuen ihre Kollegen, fördern den Wissensaustausch und tragen dazu bei, das Sicherheits-Know-how teamübergreifend zu erweitern. Das Programm von KVK umfasst eine jährliche Rezertifizierung, um sicherzustellen, dass die Fähigkeiten auf dem neuesten Stand bleiben. Die vollständige Umsetzung ist im Gange, da das Unternehmen seine Abdeckung weiter ausbaut und sich an neue Risiken wie KI-bedingte Schwachstellen und neue Bedrohungen anpasst.

„Die Integration von Zertifizierungen in unseren Entwicklungsprozess war ein Wendepunkt“, sagte Sebastiaan. „Dadurch wurde jedem Entwickler klar, dass Sicherheit eine gemeinsame Priorität und ein selbstverständlicher Bestandteil unserer Softwareentwicklung ist. Mit Secure Code Warrior ist Lernen kein einmaliges Ereignis, sondern ein kontinuierlicher, kontextbezogener Prozess, der nahtlos in unsere tägliche Entwicklungskultur eingebunden ist.“

Das Ergebnis: Die Schulungen wurden als relevant, erreichbar und direkt mit der täglichen Arbeit der Entwickler verbunden empfunden. Bis Anfang 2024 hatten 90 % der KVK-Entwickler die Zertifizierung der Stufe „Foundation“ erreicht – ein Meilenstein, der sowohl die Strategie als auch den kulturellen Wandel hin zu einer von Entwicklern geleiteten Sicherheit bestätigte.

Die Ergebnisse

Echte Wirkung, messbarer Fortschritt

Die Investition von KVK in sichere Entwicklung mit Secure Code Warrior zu beeindruckenden Ergebnissen geführt:

KVK nutzt den SCW Trust Score®, einen Maßstab, der das Engagement eines Unternehmens für sichere Codierungspraktiken auf der Grundlage wichtiger Sicherheitskennzahlen misst. Im Laufe von sechs Monaten stieg der Trust Score von KVK deutlich an, wodurch das Unternehmen zu den besten 12 % der Unternehmen weltweit zählt.

„Der SCW Trust Score gibt uns einen klaren, datengestützten Überblick darüber, wo unsere Risiken liegen und wie wir unsere Schulungen auf die wichtigsten Bereiche konzentrieren können“, erklärte Sebastiaan. „Er ist nicht nur ein Maßstab, sondern eine Roadmap, mit der wir Fortschritte nachweisen und den tatsächlichen geschäftlichen Nutzen einer sicheren Entwicklung demonstrieren können.“

KVK hat in Zusammenarbeit mit Secure Code Warrior einen neuen Standard für entwicklerorientierte Sicherheit gesetzt. Durch die Kombination von starker Führung, einer klaren Strategie und messbaren Ergebnissen haben sie die sichere Entwicklung zu einer zentralen Geschäftsfähigkeit gemacht, die die Compliance-Anforderungen erfüllt und als Vorbild für die Branche dient. Da die Berichterstattung von SCW den Zertifizierungsstandards ISO 27001/27002 entspricht, kann KVK die Wirksamkeit seines Programms auch bei Audits validieren und damit zeigen, dass sichere Entwicklung nicht nur empfohlen, sondern erforderlich ist.

KVK plant, sein Zertifizierungsprogramm über den Bereich Engineering hinaus auf QA-Tester, DevOps und Low-Code-Entwickler auszuweiten, um zu unterstreichen, dass Sicherheit eine gemeinsame Verantwortung des gesamten Unternehmens ist. Außerdem plant das Unternehmen, die auf KI/LLM fokussierten Inhalte von SCW einzuführen, um Entwicklern neben Tools wie GitHub Copilot zu helfen, sicher zu programmieren, und arbeitet mit SCW Professional Services zusammen, um die Einführung von Trust Agent zu optimieren. Diese Bemühungen zeigen, was möglich ist, wenn sicheres Programmieren zu einer gemeinsamen Verantwortung wird, nicht nur für Entwickler, sondern für das gesamte Unternehmen.

„Unsere Partnerschaft mit Secure Code Warrior reibungslos und produktiv“, sagte Sebastiaan. „Sie haben uns bei der Umsetzung und Verbesserung unseres Schulungsprogramms unterstützt, was zu einer messbaren Risikominderung und einer stärkeren Kultur der sicheren Entwicklung geführt hat.“

Mit Secure Code Warrior hat KVK eine solide Grundlage für sichere Entwicklung geschaffen, und das ist erst der Anfang.

Das Risikomanagement für Entwickler ist ein ganzheitlicher und proaktiver Ansatz für die Anwendungssicherheit, der sich auf die Mitwirkenden am Code konzentriert und nicht auf die Bits und Bytes der Anwendungsschicht selbst.

Messen, verwalten und mindern Sie proaktiv die Sicherheitsrisiken von Entwicklern während des gesamten SDLC, um die Sicherheitslage zu verbessern, Software schneller zu veröffentlichen und Schwachstellen um 53 % oder mehr zu reduzieren.

Die Philosophie hinter dem Risikomanagement für Entwickler ist, dass die Vorteile und die Auswirkungen von entwicklergesteuerten Initiativen für sicheren Code exponentiell zunehmen, wenn Code-Mitwirkende geschult werden und die Governance für sichere Codierungsfähigkeiten programmatisch angewendet wird.

Möchten Sie die OWASP Top 10 dominieren? Laden Sie den No-BS-Leitfaden zum Schutz Ihrer Anwendungen vor den OWASP Top 10:2025 herunter.

Die zehn häufigsten Sicherheitslücken haben keine Chance gegen sicherheitsbewusste, qualifizierte Entwickler wie Sie. Dieses kostenlose E-Book ist Ihr ultimativer Leitfaden, um jeden der berüchtigten Einträge in den OWASP Top 10 2025 und die Funktionsweise der einzelnen Fehler zu verstehen. 

Sie werden sehen, warum sie so gefährlich sind und vor allem, wie Sie sie alle für immer aus Ihrer Software verbannen können. Als zusätzlichen Bonus enthält dieser Leitfaden Links zu geführten Video-Lernmodulen, die Sie bei der Entwicklung Ihrer Fähigkeiten unterstützen.

Sie werden:

• Erfahren Sie, wie Sie häufige Fehler wie Injektionsfehler und den häufigsten Fehler, die fehlerhafte Zugriffskontrolle, erkennen und beheben können.
• Gewinnen Sie neue Einblicke und praktische Kenntnisse zu brandneuen Themen wie Ausfällen in der Software-Lieferkette und dem Umgang mit außergewöhnlichen Bedingungen.
• Verstehen Sie, warum sicheres Programmieren und die Konzentration auf die Codequalität wirksame Schutzmaßnahmen sind, um das Risiko von Schwachstellen und Cyberangriffen zu verringern.

Sind Sie bereit für Ihre nächste Eroberung im Bereich der sicheren Programmierung?

Schnell und sicher innovieren - Trust Agent: KI

Die weit verbreitete Einführung von KI-Codierungstools bringt eine neue kritische Risikoebene in Ihren Entwicklungszyklus. Ohne Transparenz und Governance sind Sie der "Schatten-KI" und einem Zustrom von unsicherem Code ausgesetzt. Vertrauensagent: AI bietet die umfassende Beobachtbarkeit und Kontrolle, die Sie benötigen, um die Einführung von KI ohne Sicherheitseinbußen zu verwalten. Durch die Korrelation der Nutzung von KI-Tools mit den sicheren Programmierfähigkeiten der Entwickler hilft unsere Lösung Ihnen, Risiken auf der Commit-Ebene zu erkennen und zu mindern, damit Sie schneller und sicherer als je zuvor innovieren können.

Laden Sie noch heute unseren One-Pager herunter und erfahren Sie, wie SCW Trust Agent: AI Sie dabei unterstützen kann, Ihre Sicherheitslage zu verbessern, Ihren Entwicklungszyklus zu optimieren und Schwachstellen deutlich zu reduzieren.

‍

OpenText Application Security, früher bekannt als Fortify, und Secure Code Warrior haben sich zusammengeschlossen, um die Anwendungssicherheit zu verbessern und Entwicklern die Möglichkeit zu geben, zu Sicherheitsexperten zu werden. Die Integration ermöglicht gezielte Aufklärung über Schwachstellen, schnellere Behebung und praxisnahe Schulungen, um Entwicklern von Anfang an das Schreiben sicheren Codes zu ermöglichen.

Diese Zusammenarbeit reduziert Sicherheitsrisiken, minimiert Kosten und vereinfacht die Einhaltung von Vorschriften, indem sie die Sicherheit in den Lebenszyklus der Softwareentwicklung einbettet und Unternehmen dabei hilft, das Vertrauen ihrer Kunden zu stärken und qualitativ hochwertigen Code schneller zu liefern.

Lesen Sie mehr über die Partnerschaft in unserem One Pager.

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

• Verbesserung der Risikobewertung
• Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
• Auflösung Zeit
• Keine geschlossenen Schwachstellen vs. offene Schwachstellen
• Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden. 

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

• Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
• Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
• Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

• Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
• Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

‍

Während des Webinars erörtert sie:

• Mögliche Methoden zum Auffinden von Entwicklern
• Herausforderungen für die SCW-Kunden
• Vertrauensperson: Commits für die Entdeckung durch Entwickler
• Nächste Schritte für Neukunden
  ‍