Penetration Testing ist nicht alles

Softwareentwicklung – ohne Sicherheitskonzept keine sichere Anwendung

14.07.2010 | Autor / Redakteur: Markus Wutzke, (ISC)²-zertifizierter CSSLP / Stephan Augsten

Eine Software sollte nicht erst im Rahmen des Penetrationstests in die Zange genommen werden.
Eine Software sollte nicht erst im Rahmen des Penetrationstests in die Zange genommen werden.

In der Softwareentwicklung kommt die Sicherheit häufig nicht über den Status eines Add-on-Features hinaus. Unsicher entwickelte Applikationen untergraben nur allzu oft die Unternehmenssicherheit und führen zu weitreichenden Schäden. Was fehlt ist ein Sicherheitskonzept, das die Risiken der jeweiligen Applikation berücksichtigt.

Sichere Anwendungsentwicklung bedeutet mehr als die Penetrationstests am Ende des Entwicklungsprozesses. Alle am Entwicklungsprozess beteiligten Personen müssen vielmehr Sicherheit als wichtiges Qualitätsmerkmal verstehen.

Am Anfang eines Entwicklungsprojekts sollten Sicherheitsanforderungen und Risiken auf der Geschäftsebene identifiziert und festgehalten werden. Nur darauf aufbauend kann anschließend ein angemessenes Sicherheitskonzept für die Applikation erarbeitet werden.

Softwareanforderungen und Sicherheit

In der Anforderungsanalyse muss folglich nicht nur die fachliche Funktionalität berücksichtigt werden, sondern auch die Sicherheit. Es gilt die richtigen Weichen zu stellen, damit zeit- und kostspielige Nachjustierungen im Nachhinein nicht mehr notwendig sind.

Für dieses Vorhaben erweist es sich als hilfreich, wenn bereits ein Information-Security-Management-System (ISMS) etabliert ist, das auf bewährten Standards wie ISO 27001 basiert. Innerhalb des ISMS werden Richtlinien und Prozesse beschrieben, die eine Grundlage dafür schaffen, Risiken und Bedrohungen zu identifizieren und bestmöglich kontrollierbar zu machen.

Die dabei zu erarbeitenden Richtlinien, Konzepte und Handlungsanweisungen regeln auch Bereiche der Applikationsentwicklung und des sicheren Betriebs. Sie bieten ein Grundgerüst für das Sicherheitskonzept der zu entwickelnden Software.

Beispielsweise empfiehlt der ISMS-Standard ISO 27001 im Control A.12.2.1, dass alle Daten, die in eine Applikation eingegeben werden, auf ihre Richtigkeit und Zweckmäßigkeit überprüft werden sollten. Dabei handelt es sich um eine grundlegende Maßnahme, um typische Applikationsschwachstellen, wie SQL-Injection und Cross-Site-Scripting zu verhindern.

Seite 2: Bewährte Sicherheitsmechanismen integrieren

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2046092 / Security Best Practices)