Fünf wichtige Fragen auf dem Weg zur Implementierung einer Security Policy
Web-Anwendungen sicher gestalten
Sicherheitsvorfälle im Netz häufen sich und betreffen Organisationen jeder Größenordnung. Um die Risiken zu minimieren, müssen die Unternehmen daher ihre Sicherheitsstandards erhöhen. Coverity, Experte für Development Testing, benennt fünf wesentliche Punkte, die nach eigener Aussage bei der Einführung einer Security Policy für sichere Web-Anwendungen helfen sollen.
Entlarvt: Die Top-4-Mythen über sicheres Surfen im Internet
Kostenloses Tool ermöglicht Optimierung von Web-2.0-Anwendungen
Web-Performance-Monitor stellt geschäftskritische Betriebszeit sicher
Angriffsmethoden wie SQL-Injection oder Cross-Site Scripting sind bei Cyber-Kriminellen beliebt, um Sicherheitslücken in Web-Applikationen auszunutzen. Letztes Jahr gab im Rahmen einer Studie über die Hälfte der befragten Firmen aus dem Bereich der Softwareentwicklung an, dass sie Schwachstellen in Web-Anwendungen entdeckt hatten. Laut Coverity hilft eine Security Policy, die auch die Belange der Entwicklerteams berücksichtigt, die Sicherheit der Applikationen zu verbessern. Der Experte für Development Testing nennt daher die wichtigsten Punkte, die Sicherheitsverantwortliche in diesem Zusammenhang beachten sollten.
Punkt eins behandelt die verwendete Software. Dabei sei der erste Schritt eine Bestandsaufnahme und eine Risikobeurteilung. Mittlerweile sind häufig so viele Anwendungen in Unternehmen im Einsatz, dass die Verantwortlichen nicht um eine Priorisierung für das Testen herumkommen. Anderenfalls könnten die Bemühungen der Firma ins Leere laufen und sie könnte Ressourcen unnötig verschwenden, ohne den gewünschten Erfolg zu erzielen.
Als Zweites geht der Experte auf die Frage ein, wie sich Entwickler für das Thema Sicherheit sensibilisieren lassen. Üblicherweise sprechen Sicherheitsverantwortliche und Developer unterschiedliche Sprachen. Beim Thema Security wittert der Entwickler schnell Zeitverzögerung, Mehraufwand und Innovationsverlust. Daher sollten Tests bereits in der Entwicklungsphase stattfinden und sich nahtlos in deren Prozesse integrieren lassen. Laut Coverity können Unternehmen so Behinderungen vermeiden und das Sicherheitsbewusstsein der Entwickler aufbauen.
Das größte Potenzial zur Verbesserung der Anwendungssicherheit liege in der Verständlichkeit von Sicherheitstests. Obwohl zahlenmäßig den Entwicklern meist weit unterlegen, wollen Sicherheitsverantwortliche ihre Security-Ansichten hinsichtlich der Applikationen durchsetzen, ohne jedoch die Developer-Kultur zu verstehen. Um ein System durchzusetzen müssen es jedoch beide Seiten verstehen. Dies sei notwendig, damit Tests während der Entwicklung zu einer deutlichen Kostenreduktion beitragen können.
Der vierte Punkt umfasst die Integration der Sicherheit in den Entwicklungsprozess. Dabei sollen Programme helfen, sicherheitsrelevante Innovationen anzuerkennen und Kooperationen zwischen Entwicklergruppen aufzubauen. Dies betrifft laut Coverity beispielsweise Rankings der Teams mit den meisten Fixes. Solches verbessere nicht nur die Motivation allgemein, sondern trage auch zu einer stetigen Präsenz der Sicherheit bei.
Existiert eine Policy zur Verbesserung der Anwendungssicherheit, muss das Unternehmen mit dieser klar und verständlich kommunizieren. Entscheidend sei dabei eine Unterstützung von oberster Stelle. Zudem sollten alle Beteiligten vorab gemeinsam Standards bestimmen, die sich im „Management-System für Informationssicherheit“ (ISMS) festhalten, kontrollieren und verbessern lassen.
Weitere Informationen gibt es unter www.coverity.com/de/index.html.
Lesen Sie mehr zum Thema
