Security-Standards frühzeitig setzen

Sicherheit in der Anwendungsentwicklung beginnt beim Software-Design

Seite: 2/2

Firma zum Thema

IT-Sicherheit bei der Anwendungsentwicklung

Gerade in der IT gilt, dass man ein hohes Maß an Sicherheit mit einem überschaubaren Aufwand erreichen kann, wenn zwei Voraussetzungen gegeben sind: Man muss Sicherheit in standardisierter Weise beim Design von Anwendungen berücksichtigen. Und man braucht eine Infrastruktur, die grundlegende Sicherheitsfunktionen bereitstellt und die von Anwendungen genutzt werden kann.

Es geht also darum, standardisierte Sicherheitsdienste zu nutzen statt Sicherheit in jeder Anwendung neu zu erfinden. Denn das „Neuerfinden“ ist nicht nur aufwändig und führt in der Tat zu Verzögerungen, es birgt auch das Risiko, dass die Erfindung eben nicht allzu gut gelungen ist.

Wenn man stattdessen aber mit standardisierten Diensten arbeitet, kann man diese gut konzipieren und prüfen. Damit reduziert man nicht nur die Sicherheitsrisiken, sondern auch den Aufwand in der Softwareentwicklung, weil es vergleichsweise einfach ist, solche Schnittstellen in standardisierter Weise zu nutzen.

Keine Ausreden mehr

Inzwischen gibt es eine breite Palette an technischen Möglichkeiten, um eine standardisierte und Schnittstellen-basierende Sicherheit umzusetzen. Natürlich erfordert das Investitionen – in die Anwendungsinfrastruktur ebenso wie in die Ausbildung der Softwareentwickler, die Beschreibung der Schnittstellen und den Betrieb der zentralen Infrastruktur.

Diesen Investitionen stehen aber nicht nur geringere Sicherheitsrisiken gegenüber. Indem man beispielsweise Verzeichnisdienste, Authentifizierungsdienste oder auch Hardware-Tokens für die starke Authentifizierung wiederverwendet, reduzieren sich auch die Betriebskosten der zentralen Infrastruktur sowie Soft- und Hardwarekosten.

Neben gängigen Elementen wie Verzeichnisdiensten gibt es beispielsweise so genannte Versatile Authentication Platforms, mit denen unterschiedliche Authentifizierungsmechanismen flexibel über eine Art Middleware genutzt werden können. Dabei programmiert man also nicht mehr speziell für eine Authentifizierungstechnik wie ein Einmal-Kennwort oder eine Smartcard mit digitalen Zertifikaten. Darüber hinaus existiert das auf der Identity Federation basierende Konzept der Claims, es gibt XACML-basierende Plattformen für die Autorisierungssteuerung und vieles mehr.

Anders formuliert: Es gibt keine validen Ausreden mehr, um sich um sichere Anwendungsentwicklung zu drücken. Genauso wenig gilt, dass man Innovationen durch Sicherheit stört. Es mag sein, dass der erste Schritt ein wenig länger dauert. Aber die danach folgenden Schritte gehen viel schneller, wenn man nachher nicht mehr mühselig versuchen muss, doch noch Sicherheit zu schaffen und das nur mit hohem Aufwand und hohen Folgekosten schafft.

European Identity Conference 2010

Mittelstandsdialog Informationssicherheit 2010

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Parallel zur European Identity Conference 2010 findet von Dienstag bis Freitag, 04. bis 07. Mai 2010, in München der Mittelstandsdialog Informationssicherheit 2010 von Kuppinger Cole statt.

(ID:2044712)