Suchen

Security-Standards frühzeitig setzen Sicherheit in der Anwendungsentwicklung beginnt beim Software-Design

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

IT-Sicherheit gerne dahingehend kritisiert, dass sie IT-Innovationen ausbremse. Ist Sicherheit tatsächlich nur ein Störfaktor für den Fortschritt? Oder ist es nicht vielmehr so, dass man ein hohes Maß an Sicherheit bei Software nur erreichen kann, wenn man sie von Beginn an im Anwendungsdesign berücksichtigt?

Firmen zum Thema

Intelligent Design: Um die Sicherheit sollte man sich bei der Software-Entwicklung schon früh Gedanken machen.
Intelligent Design: Um die Sicherheit sollte man sich bei der Software-Entwicklung schon früh Gedanken machen.
( Archiv: Vogel Business Media )

Sicherheit ist einerseits ein Thema, mit dem sich alle IT-Verantwortlichen beschäftigen – heute mehr denn je, weil die Bedrohungen kontinuierlich zunehmen. Andererseits scheint Sicherheit oft das Stiefkind zu sein, das man zu ignorieren versucht.

Wer hat nicht schon erlebt, dass Sicherheitsanforderungen bei der Anwendungsentwicklung reduziert wurden, weil die geschäftlich so dringend benötigte Anwendung nicht rechtzeitig fertig geworden wäre? Und welche große Standardisierungsinitiative hat das Thema Sicherheit gleich mit berücksichtigt?

Bei den Web Services gab es erst SOAP für den Transport, WSDL für die Beschreibung und UDDI für die Lokalisierung als Standards, bevor man sich Dingen wie Sicherheit und Zuverlässigkeit zugewandt hat. Selbst die Kommunikation im Netzwerk wird heute noch dadurch geschützt, dass man irgendwelche Mechanismen wie IPsec oder TLS oben draufsetzt.

Zeitmangel führt zu Sicherheitsmängeln

Nun kann man durchaus argumentieren, dass die Time to Market (Zeitspanne zwischen der Produktidee und Marktreife) dazu zwingt, dass Geschäftsanwendungen rechtzeitig fertig werden. Es ist auch nachvollziehbar, dass man sich bei neuen Standards erst auf Grundfunktionen wie den Aufruf externer Diensten oder den Transport von Informationen konzentriert.

Das Resultat sind aber unsichere Anwendungen oder auch jahrelange Verzögerungen, bis ein Standard wirklich praktisch einsetzbar ist. Dass man unliebsame Themen wie die Sicherheit ignoriert, ist dabei keineswegs nur IT-spezifisch. Die Endlagerproblematik beim Atommüll ist sicher das prägnanteste Beispiel – aber es ist nur eines unter vielen.

Seite 2: IT-Sicherheit bei der Anwendungsentwicklung

(ID:2044712)