:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
1) Organizational Normative Framework (ONF)
Das ONF umfasst sogenannte "Container" für alle Komponenten von Best Practices hinsichtlich Anwendungssicherheit, die von einer Organisation bzw. einem Unternehmen katalogisiert und genutzt werden. Dazu gehören der geschäftliche, der rechtliche und der technische Kontext mit allen Spezifikationen, Rollen und Prozessen. Wer darf sich beispielsweise überhaupt mit dem Thema Anwendungssicherheit befassen? Wohl kaum die Putzkolonne, sondern vielmehr qualifiziertes und streng überwachtes Personal, das weiß, was es tut.
:quality(80)/images.vogel.de/vogelonline/bdb/590600/590691/original.jpg "Grundlegende Komponenten des Organizational Normative Framework des ISO 27034-1.")
:quality(80)/images.vogel.de/vogelonline/bdb/590600/590692/original.jpg "Der Zusammenhang zwischen einem ONF und seiner appliaktionsspezifischen Ableitung ANF, dem Application Normative Framework des ISO 27034-1.")
:quality(80)/images.vogel.de/vogelonline/bdb/590600/590693/original.jpg "Es gibt zahlreiche Parallelen zwischen Komponenten und Prinzipien des Secure Development Lifecycle von Microsoft und dem Organizational Normative Framework des ISO 27034-1 - kein Zufall.")
:quality(80)/images.vogel.de/vogelonline/bdb/590600/590694/original.jpg "Der Secure Development Lifecycle von Microsoft entwickelte ab 2002 viele Grundsätze für die Entwicklung sicherer Software.")
Eine Application Security Control (ASC) Library dient als Repository für die grundlegenden Spezifikationen der ONF-Container. Das Mapping eines Anwendungssicherheits-Lifecycle- Referenzmodells auf die Lifecycle-Modelle eines Unternehmens ist im Framework enthalten. Das erleichtert seine Einbindung in die IT-Architektur des Unternehmens.
2) Application Normative Framework (ANF)
Das ANF kann man sich als Ableitung des ONF für eine spezifische Anwendung vorstellen. Wenn also eine Anwendung, die wesentlich für die Verarbeitung und Weitergabe vertraulicher, weil personenbezogener Daten ist, sicher sein soll, dann ist das ANF anzuwenden, um die nötige Sicherheitsfreigabe zu erreichen. Weil eine Organisation in der Regel nicht nur eine Anwendung betreibt, liegt meist eine Eins-zu-vielen-Beziehung zwischen dem ONF und den ANF-Implementierungen vor.
Jede ANF muss verwaltet werden. Dazu dient der vordefinierte Application Security Management Process (ASMP). Er umfasst fünf Schritte oder Phasen:
- 1. Das Festlegen der Anforderungen an eine Anwendung und ihre Umgebung;
- 2. das Einschätzen der Sicherheitsrisiken für eine Anwendung;
- 3. das Erstellen und Pflegen des entsprechenden ANF;
- 4. das Provisionieren und Betreiben der Anwendung;
- 5. das Auditieren der Sicherheit einer Anwendung.
Mit Hilfe eines ONF-Management-Prozesses lässt sich das Rahmenwerk selbst laufend iterativ verbessern. Diese Verbesserungen werden automatisch an die ANFs vererbt. Aber auch Verbesserungen, die auf ANF-Ebene erzielt werden, können an das Mutter-ONF geliefert werden.
Um die allgemeine Anwendbarkeit des Standards 27034-1 sicherzustellen, vermeidet die ISO jede Vorschrift oder Empfehlung, was den Einsatz bestimmter Technologien, bestimmte Sicherheitskontrollen im Entwicklungszyklus oder die Anwendung auf bestimmte Wirtschaftszweige anbelangt. Weil es sich also um einen universellen und unabhängigen Standard handelt, kann jeder IT-Experte mit der ISO 27034 sowohl die Qualität als auch die Vollständigkeit seines eigenen Anwendungssicherheitsprogramm beurteilen.
Andersherum wird jedoch der ISO 27034-1-Standard zum Maßstab für die Bewertung und Zertifizierung aller Softwareentwicklungszyklen, die wenigstens die ISO 27011-Norm erfüllen wollen bzw. sollen. ISO 27023-1 umfasst nämlich bereits die Umsetzungsvorschriften des ISO 27002 und kann daher für ganz hemdsärmelige, handlungsorientierte Verfahren zur Qualitätssicherung eingesetzt werden.
Die Rolle Microsofts
Wie sich herumgesprochen haben dürfte, startete Bill Gates 2002 mit einem internen Memorandum Microsofts Initiative "Trustworthy Computing". Es dauerte bis 2007, bis die Richtlinien für einen Secure Development Lifecycle (SDL) veröffentlicht werden konnten, so dass Partner in der Lage waren, sie zu übernehmen und anzuwenden. ((Bild 4)) Daher verwundert es wenig, wenn dieser SDL heute im Anhang 1 des ISO 27034-1 als erstes Beispiel für die Anwendung des Standards genannt wird. Tatsächlich hat sich Microsoft am 13. Mai 2013 als konform mit dem ISO 27034-1 erklärt, um, wie Microsofts Partner Director Steve Lipner sagte, "ein Beispiel zu geben". Ein Mapping des Microsoft-SDL auf das ONF des ISO 27034-1 weist zahlreiche Parallelen auf.
Die Bedeutung des Standards
Sowohl Softwarehersteller als auch Kunden profitieren vom neuen Standard. Sie sprechen nun die gleiche Sprache, verfügen über die gleichen Qualitätskriterien und die gleichen Handlungsempfehlungen. Kunden sehen sich endlich in der glücklichen Position, die Sicherheitsniveaus der ihnen angebotenen Produkte vergleichen und bewerten zu können, BEVOR sie sie einführen. Und wenn ein Hersteller keine Zertifizierung nach ISO 27034-1 vorweisen kann, ist er sofort im Nachteil.
Da beratende Gremien wie SAFEcode, die Cloud Security Alliance (CSA) sowie die Vorschriften des PCI/DSS (Payment Card Industry/Data Security Standard) den neuen Standard unterstützen und teils übernehmen, ist es nur eine Frage der Zeit, bis sich ISO 27034-1 als branchenweite Mindestanforderung für Informations- und Anwendungssicherheit durchsetzt. Jeder Sicherheitsvorfall, der sich ereignet, erhöht den Druck auf die Betroffenen (d.h. ein Unternehmen und seine Softwarelieferanten), sich konform zum ISO 27034-1 aufzustellen.
(ID:39940250)
:quality(80)/p7i.vogel.de/wcms/66/73/6673be93ed5a05dd95ba48517e2193bb/0113798287.jpeg "Synopsys, NowSecure und Secure Code Warrior bündeln ihr Know-how. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")