Suchen

Applikationssicherheit

Schwachstellen in Web-Anwendungen vermeiden

Seite: 2/2

Firma zum Thema

3. Planen Sie für Eventualitäten

Egal, wie viele Richtlinien Sie einsetzen – Sie setzen Ihre Organisation einem Risiko aus, wenn diese Richtlinien keinen genauen Plan umfassen oder wenn niemand ihn versteht (und Sie Ihre Tester, Entwickler und Programmierer nicht entsprechend schulen). Eine gute Notfallplanung ist unabdingbar und umfasst auch die Annahme, dass Ihr Netzwerk und Ihre Infrastruktur sowie der gesamte interne und externe Datenverkehr ständig unter Beobachtung stehen.

Viele werden sich fragen, ob sich die Investition in native Anwendungssicherheit lohnt, wenn doch das Sichern der wichtigsten Infrastrukturkomponenten und gemeinsam genutzter Plattformen zunächst als logische Alternative erscheint. Die Antwort lautet: Wenn Sie Anwendungen auf einer gemeinsam genutzten Infrastruktur ausführen, müssen Sie davon ausgehen, dass diese Plattformen nicht sicher sind und Datensicherheitsverletzungen ein reelles Risiko darstellen.

Denken Sie beispielsweise an die Enthüllungen von Edward Snowden: Daten, von denen angenommen wurde, dass sie nur interne Rechenzentren durchlaufen, wurden in Wirklichkeit beobachtet und erfasst.

Die meisten Organisationen verzichten darauf, ihre interne Kommunikation zu verschlüsseln, doch die Enthüllungen von Edward Snowden haben gezeigt, dass Sie zu Ihrer eigenen Sicherheit davon ausgehen sollten, dass Ihre Infrastruktur offen ist. Nehmen Sie bei der Entwicklung und Bereitstellung von Anwendungen an, dass sich der Benutzer in einem nicht vertrauenswürdigen Netzwerk befindet.

Zu den Kernaspekten einer mehrschichtigen Verteidigungsstrategie für die Anwendungssicherheit gehört es, dass Entwickler, die eng mit dem internen IT-Infrastrukturteam oder mit dem Cloud-Anbieter zusammenarbeiten, deren Richtlinien genau kennen und wissen, wie oft sie aktualisiert und validiert werden und ob Prüfer eingesetzt werden. Eine mehrdimensionale Strategie ist wichtig, denn möglicherweise ist Ihre Anwendung sicher, nicht jedoch die verwendeten Daten oder die Plattform, auf der sie ausgeführt wird.

Genauso wichtig ist es, zu analysieren, wie genau Sie im Hinblick auf die Sicherheit über die Vergangenheit eines Anbieters Bescheid wissen. Wie schnell reagiert der Anbieter, wenn er oder ein Kunde eine Schwachstelle entdeckt? Was für Sicherheitsvorfälle sind bereits aufgetreten? Der Anbieter sollte über eigene Richtlinien verfügen und belegen können, dass sie wirksam sind.

Eine robuste Sicherheitsrichtlinie für Unternehmensanwendungen umfasst drei zentrale Punkte – einen eindeutigen Ansprechpartner für Mitarbeiter der Organisation, transparente Dienstgütevereinbarungen (SLAs) im Hinblick auf die Reaktionszeit von Anbieter und IT-Abteilung, eine eindeutige Strategie zur Schadensbegrenzung, falls der Anbieter nicht schnell reagieren kann, sowie offene Kommunikationswege: Wenn eine Sicherheitsschwachstelle entdeckt wird, sollte der Anbieter Sie warnen und nicht umgekehrt.

Mav Turner
Mav Turner
(Bild: SolarWinds)

Zusammen mit einer durchdachten Sicherheitsstrategie bei der Entwicklung und Bereitstellung von Anwendungen ebnen uns diese Prozesse den Weg zu einer sicheren Anwendungsentwicklung. In einer solchen Welt werden Datensicherheitsverletzungen die Ausnahme sein, nicht die Regel.

Über den Autor

Mav Turner ist Director Business Strategy bei SolarWinds.

Artikelfiles und Artikellinks

(ID:43821933)