Interaktive Portale

Fit gegen Angriffe aus dem Internet

| Autor / Redakteur: Björn Kibbel* / Stephan Augsten

Um Internet-Portale umfassend abzusichern, bedarf es ebenso technischer wie auch organsiatorischer Hilfmittel.
Um Internet-Portale umfassend abzusichern, bedarf es ebenso technischer wie auch organsiatorischer Hilfmittel. (Bild: Nmedia - Fotolia.com)

Web-Portale zum Austausch sensibler Daten müssen höchst sicher sein. Ein Sicherheitskonzept beginnt bei der Schulung der Entwickler, geht über die Architektur, die Entwicklung bis hin zum Test und zur Reaktion auf eingetretene Sicherheitsvorfälle. Der folgende Artikel beleuchtet die vier wesentlichen Pfeiler eines ganzheitlichen Sicherheitskonzepts.

Viele Unternehmen bieten ihren Kunden und Geschäftspartnern interaktive Inhalte im Internet an. In der Regel werden diese über sogenannte Portale im Web zur Verfügung gestellt. Die rein fachliche Implementierung von Webanwendungen stellt heute allerdings keine große Herausforderung mehr dar.

Schwierig und spannend wird es dann, wenn es um Portallösungen im Umfeld komplexer Branchen wie beispielsweise dem Banken- und Versicherungssektor geht. Hier sind Internet-Portale meist keine Selbstläufer mehr, sondern mit Risiken und damit hohen Sicherheitsanforderungen und Betriebskosten behaftet.

Dies ist deshalb der Fall, da Kunden und Geschäftspartnern der Zugriff auf Echtdaten aus dem Bestandssystem ermöglicht wird. So können sie Daten der laufenden Geschäftsvorfälle live im Internet „beobachten“ oder sich als Partner mit Geschäftsvorfällen direkt in die internen Prozesse integrieren.

Vor dem Hintergrund der Berichterstattung über Datenklau von Millionen von Zugangsdaten kommt dann schnell die Frage auf, wie solche Szenarien abzusichern sind. Die folgenden Ausführungen gelten ebenso für eine SAP-Landschaft wie auch für jede andere IT-Gesamtarchitektur, in die sich die Portallösung integriert.

Ganzheitlicher Ansatz beim Thema Sicherheit

Die Sicherheit von interaktiven Portalen ist ganzheitlich zu betrachten.
Die Sicherheit von interaktiven Portalen ist ganzheitlich zu betrachten. (Bild: innobis AG)

Das Thema Sicherheit spielt auf allen Ebenen des späteren Portalszenarios eine Rolle. Es beginnt bei der Schulung der Entwickler vor Projektbeginn, geht über die Architektur und die Entwicklung bis hin zum Test, umfasst aber auch den Software-Betrieb, vertragliche Bestandteile zum Beispiel mit Rechenzentrums-Dienstleistern und die Reaktion auf eingetretene Sicherheitsvorfälle.

Dabei ist es auf keiner der Ebenen möglich, eine absolute Sicherheitsstufe zu erreichen bzw. alle erdenklichen Risiken auszuschalten. Vielmehr geht es immer darum, Sicherheitsnutzen und die dazu gehörigen Kosten für die Umsetzung oder den Aufbau von entsprechenden Maßnahmen gegeneinander abzuwägen, sich bewusst in die eine oder andere Richtung zu entscheiden und die getroffenen Entscheidungen zu dokumentieren. Die Sicherheit muss also als ganzheitliches Thema im Projektverlauf betrachtet werden und darf nicht nur vereinzelt auftauchen.

Vier wesentliche Teilbereiche eines Sicherheitskonzepts

Um in einem Portalprojekt die sicherheitsrelevanten Aspekte von Beginn an vollständig im Griff zu behalten, empfiehlt es sich, parallel zur Designphase ein Sicherheitskonzept zu erstellen. An diesem lassen sich alle späteren Entscheidungen mit Sicherheitsauswirkungen erproben. Sicherheit gehört damit in den Verantwortungsbereich des Projektleiters.

Grundsätzlich wird das Thema Sicherheit wie folgt behandelt:

  • Ermittlung des Schutzbedarfs auf allen Ebenen des umzusetzenden Szenarios.
  • Ermittlung der möglichen Bedrohungsszenarien, die sich für das geplante Szenario ergeben können.
  • Zuordnung von Schutzmaßnahmen für alle Bedrohungsszenarien, die den Bedarf decken und die Kosten in erträglichem Rahmen halten.
  • Ableitung von Checklisten und Prüfpunkten aus den umzusetzenden Schutzmaßnahmen für die einzelnen Projektphasen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43806441 / Risk Management)