Suchen

Penetration Testing ist nicht alles Softwareentwicklung – ohne Sicherheitskonzept keine sichere Anwendung

| Autor / Redakteur: Markus Wutzke, (ISC)²-zertifizierter CSSLP / Stephan Augsten

In der Softwareentwicklung kommt die Sicherheit häufig nicht über den Status eines Add-on-Features hinaus. Unsicher entwickelte Applikationen untergraben nur allzu oft die Unternehmenssicherheit und führen zu weitreichenden Schäden. Was fehlt ist ein Sicherheitskonzept, das die Risiken der jeweiligen Applikation berücksichtigt.

Firmen zum Thema

Eine Software sollte nicht erst im Rahmen des Penetrationstests in die Zange genommen werden.
Eine Software sollte nicht erst im Rahmen des Penetrationstests in die Zange genommen werden.
( Archiv: Vogel Business Media )

Sichere Anwendungsentwicklung bedeutet mehr als die Penetrationstests am Ende des Entwicklungsprozesses. Alle am Entwicklungsprozess beteiligten Personen müssen vielmehr Sicherheit als wichtiges Qualitätsmerkmal verstehen.

Am Anfang eines Entwicklungsprojekts sollten Sicherheitsanforderungen und Risiken auf der Geschäftsebene identifiziert und festgehalten werden. Nur darauf aufbauend kann anschließend ein angemessenes Sicherheitskonzept für die Applikation erarbeitet werden.

Softwareanforderungen und Sicherheit

In der Anforderungsanalyse muss folglich nicht nur die fachliche Funktionalität berücksichtigt werden, sondern auch die Sicherheit. Es gilt die richtigen Weichen zu stellen, damit zeit- und kostspielige Nachjustierungen im Nachhinein nicht mehr notwendig sind.

Für dieses Vorhaben erweist es sich als hilfreich, wenn bereits ein Information-Security-Management-System (ISMS) etabliert ist, das auf bewährten Standards wie 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001 basiert. Innerhalb des ISMS werden Richtlinien und Prozesse beschrieben, die eine Grundlage dafür schaffen, Risiken und Bedrohungen zu identifizieren und bestmöglich kontrollierbar zu machen.

Die dabei zu erarbeitenden Richtlinien, Konzepte und Handlungsanweisungen regeln auch Bereiche der Applikationsentwicklung und des sicheren Betriebs. Sie bieten ein Grundgerüst für das Sicherheitskonzept der zu entwickelnden Software.

Beispielsweise empfiehlt der ISMS-Standard ISO 27001 im Control A.12.2.1, dass alle Daten, die in eine Applikation eingegeben werden, auf ihre Richtigkeit und Zweckmäßigkeit überprüft werden sollten. Dabei handelt es sich um eine grundlegende Maßnahme, um typische Applikationsschwachstellen, wie SQL-Injection und Cross-Site-Scripting zu verhindern.

Seite 2: Bewährte Sicherheitsmechanismen integrieren

(ID:2046092)