Suchen

Sichere Softwareentwicklung Sicherheit endet oft schon bei der Entwicklung

Autor / Redakteur: Martin Kuppinger / Peter Schmitz

IT-Sicherheit und der korrekte Umgang mit personenbezogenen und anderen sensitiven Daten ist nicht nur eine Frage der Konfiguration, des Verhaltens und von speziellen Tools. Es ist auch eine Frage der Softwareentwicklung. Viele Probleme werden dort bereits geschaffen – oft unabsichtlich, manchmal aber auch absichtlich.

Firmen zum Thema

Nur wenn bei der Softwareentwiclung Sicherheit ebenso wie Datenschutz wesentliche Designkriterien sind, wird man schnell auf neue Bedrohungen reagieren können. (A. Walters - Fotolia)
Nur wenn bei der Softwareentwiclung Sicherheit ebenso wie Datenschutz wesentliche Designkriterien sind, wird man schnell auf neue Bedrohungen reagieren können. (A. Walters - Fotolia)

Wenn man Softwareentwicklungsprojekte betrachtet, dann ist es auch heute noch so, dass Sicherheit meist ein ungeliebtes, notwendiges Übel ist. Sicherheit wird immer noch viel zu oft am Schluss hinzugefügt. Das kann aber nicht gut funktionieren. Sicherheit muss von Beginn an ein zentraler Bestandteil der Anwendungsarchitektur sein und bei der Codierung immer berücksichtigt werden. Sicherheit nachträglich zu implementieren führt immer zu Krückenlösungen.

Sicherheit muss geplant werden. Und Sicherheit muss standardisiert werden. Das Zauberwort heißt (schon seit Jahren) Anwendungssicherheitsinfrastrukturen. Es geht um standardisierte Infrastrukturen, die Dienste für die Entwickler bereitstellen. Dienste, um Identitätsdaten zu speichern. Dienste, um Benutzer zu authentifizieren. Dienste, um die Autorisierung zu steuern. Dienste, um Audit-Informationen standardisiert bereitzustellen. Dienste für die Verschlüsselung von Informationen.

Diese Dienste müssen, soweit vorhanden, Standards nutzen. Dazu gehören Standards wie LDAP, SAML, XACML und einige weitere. Sie müssen aber vor allem auch für die Entwickler in einfacher Weise verfügbar gemacht werden, so dass sie eine Erleichterung und nicht eine zusätzliche Last in den zeitlich ohnehin meist knappen Projektplänen für die Softwareentwicklung darstellen.

Die Vorgaben müssen aber in gleicher Weise auch für die Beschaffung von Software gelten. Auch diese Systeme müssen die Sicherheitsinfrastruktur unterstützen. Gerade hier sind Standards von zentraler Bedeutung, um Systeme flexibel einbinden zu können.

Nicht immer ist es aber das Ziel der Entwickler, das zu erreichen. Wenn man viele der sozialen Netzwerke betrachtet, geht es ja genau nicht darum. Hier wird Sicherheit oft als Gefahr für das Geschäftsmodell verstanden, auch wenn immer deutlicher wird, dass das Fehlen von Sicherheit und Kontrolle über die eigenen Daten auf Dauer das viel größere Risiko für solche Geschäftsmodelle ist.

(ID:32381510)