Zum Hauptinhalt springenZum Seitenfuß springen
 

 |  Blog Blog

Zurück

Sichere Softwareentwicklung bei M&M Software. Weil Sicherheit mit Vertrauen beginnt.

Software ist überall. Sie steuert Maschinen, verarbeitet Daten, verbindet Menschen. Je vernetzter die Welt wird, desto wichtiger wird Sicherheit. Deshalb ist Sicherheit für uns bei M&M Software kein Zusatz, sondern ein fester Bestandteil professioneller Entwicklung.

Sicherheit ist Verantwortung

Cyberangriffe verursachen jedes Jahr immense Schäden: finanziell, rechtlich und im Hinblick auf das Vertrauen in ein Unternehmen. Wer Software entwickelt, trägt Verantwortung gegenüber Nutzerinnen, Nutzern, Kund:innen und der Gesellschaft. 
Sicherheit ist für uns kein „Nice-to-have“. Sie ist ein Qualitätsmerkmal. Und sie schafft Vertrauen. Vertrauen ist die Grundlage jeder erfolgreichen Zusammenarbeit.

Sicherheit von Anfang an mitdenken

Sichere Software entsteht nicht am Ende eines Projekts, sondern ganz am Anfang. Sicherheit beginnt mit der Anforderungsanalyse, beeinflusst Architektur und Implementierung, begleitet alle Tests und endet nicht mit dem Release. Jeder Schritt zählt.

Das bedeutet sichere Softwarentwicklung für uns:

  • Threat Models
    Identifikation und Einschätzung möglicher Bedrohungen noch vor der Entwicklung spart Zeit, Geld und minimiert das Risiko; immer in Begleitung von unseren Security Experten.
  • Berücksichtigung von aktuellen Sicherheitsanforderungen und -guidelines 
    Wir identifizieren relevante Sicherheitsanforderungen und suchen wirtschaftlich sinnvolle Lösungen, dem Risiko angemessen. Unsere internen Security-Policies und 
    -Guidelines unterstützen uns in allen Projektphasen.
  • Statische Code-Analyse inklusive statischer Sicherheitsprüfungen (SAST)
    Unser umfassendes Tooling identifiziert potenzielle Schwachstellen und Qualitätsmängel noch vor dem Code Review durch eine zweite Person, was selbstverständlich auch Pflicht ist. Quality Gates verhindern die Auslieferung erkannter Probleme.
  • Source Composition Analyse (SCA)
    Natürlich erstellen wir eine Software-Bill-of-Materials (SBOM) mit allen eingesetzten Drittkomponenten für Sie. Wir übernehmen außerdem das aktive Monitoring von bekannten Schwachstellen in Drittkomponenten während der Projektlaufzeit.
  • Dokumentation sicherheitsrelevanter Informationen
    Alle wichtigen Informationen zu Sicherheitsentscheidungen oder anderen sicherheitsrelevanten Angelegenheiten werden dokumentiert, inklusive notwendiger Anweisungen, die in das Produkthandbuch gehören.
  • Vorbereitung auf Konformität mit dem Cyber Resilience Act
    Der Cyber Resilience Act gilt ab Dezember 2027 verpflichtend für fast alle Produkte und schreibt umfangreiche Maßnahmen zur Security vor. Wir bereiten Ihr Produkt und notwendige Dokumentation rechtzeitig darauf vor. Auch bei den bereits ab September 2026 geltenden Meldepflichten unterstützt Sie unser Product Security Incident Response Team (PSIRT).
  • Sorgfältige Auswahl von Drittkomponenten
    Wir setzen nur Bibliotheken und Tools ein, die wir umfassend geprüft haben. Sind sie sicher? Werden sie regelmäßig gepflegt? Gibt es Alternativen? Falls nicht, minimieren wir das Risiko gezielt durch bewusste Entscheidungen.
  • Aktives Schwachstellenmanagement
    Ob im eigenen Code oder bei eingesetzten Drittkomponenten: Wenn Sicherheitslücken auftauchen, reagieren wir sofort. Wir analysieren, beheben und dokumentieren. Außerdem informieren wir unsere Kund:innen transparent und unterstützen sie, wenn nötig, auch dabei, ihre Enduser entsprechend zu informieren.
  • Klare Regeln und nachvollziehbare Dokumentation
    Unsere internen Guidelines unterstützen die Entwicklung sicherer Software. Sämtliche sicherheitsrelevanten Maßnahmen und Reviews sind dokumentiert. Unsere technische Dokumentation zeigt, wie unsere Software sicher betrieben wird und welche Änderungen ein Update mit sich bringt.

Menschen machen den Unterschied

Sicherheit ist kein reines Technikthema. Sie lebt vom Wissen und Bewusstsein der Menschen. Deshalb qualifizieren wir unsere Mitarbeitenden gezielt und rollenbasiert. Denn nur wer Risiken erkennt, kann sie auch vermeiden.

Security ist bei uns kein Randthema. Sie ist Teil unserer Unternehmenskultur und wird durch unser Kompetenzcenter Cyber- & Software-Security gesteuert. Sicherheit ist Teamarbeit.

PSIRT - unsere zentrale Anlaufstelle

Trotz aller Vorsicht kann es passieren, dass Sicherheitslücken entdeckt werden. Das kann durch Nutzende geschehen oder durch unabhängige Sicherheitsforschende. In solchen Fällen zählt klare Kommunikation. Unser PSIRT, das Product Security Incident Response Team, nimmt Hinweise ernst, leitet sie direkt weiter und arbeitet an Lösungen. Wir halten unsere Kund:innen auf dem Laufenden und stehen für Rückfragen bereit.

Darüber hinaus unterstützen wir unsere Kund:innen gerne dabei, einen eigenen PSIRT-Prozess aufzusetzen und zu etablieren. So helfen wir, die Reaktionsfähigkeit auf Sicherheitsvorfälle systematisch zu stärken.

Fazit: Sicherheit ist ein Prozess und unser Anspruch

Sicherheit ist für uns kein abgeschlossener Zustand, sondern ein kontinuierlicher Prozess, getragen von Expertise, klaren Strukturen und dem Engagement unserer Mitarbeitenden. So entstehen Lösungen, die vertrauenswürdig sind.
 

Über den Autor

 

Ralf King ist Security Experte und Leiter unseres Competence Centers „Cyber- und Software-Security”. Als studierter Software-Engineer hat er die Aufgaben und Herausforderungen in den verschiedenen Projektphasen vom Softwareentwickler bis hin zum Projektmanager persönlich kennen gelernt, während er das Thema Software Security frühzeitig etabliert hat. Heute unterstützt er mit seinem Security-Team die Projektteams in jeder Phase und kümmert sich um den Security Development Lifecycle nach IEC 62443-4-1.

Über den Autor

 

Sven Rieger ist Head of Software Development Services und Chief Architect bei M&M Software. Er gestaltet digitale Lösungen, die User:innen unterstützen, Abläufe vereinfachen und Probleme lösen. Die Abteilung Software Development Services unterstützt die Projekte bei allen übergreifenden Themen. Seine Schwerpunkte sind Softwarearchitektur und Entwicklungsprozesse, technologische Innovationen gezielt einsetzen sowie Fachdomänen verstehen und passgenaue Lösungen entwickeln.

Erstellt von
Zurück