Ratschläge für Unternehmen
Security-Leitfaden für Web-Applications
Ferner sei ein robuster und wirksamer Qualitätssicherungs-Prozess nötig, der zu ständigen und kontrollierten Qualitätstests führe. Diese Prüfungen dürften sich nicht nur auf die Funktion der Applikationen fokussieren, sondern ebenso auf die Sicherheitsaspekte. Sobald Anwendungen im Einsatz seien, müsse ein kontinuierliches Monitoring der entdeckten Schwachstellen erfolgen. Sobald Schwachstellen gefunden würden, müssten entschlossene Aktionen erfolgen.
Arbeitsabläufe können sich verzögern
„Das Problem der Sicherheit von Web-Applikationen wäre sehr leicht zu lösen, wenn die Antwort einfach lauten würde, dass die Programmierer alles über das Schreiben sicherer Codes und die Beseitigung von Gefahrenquellen wissen müssen“, heißt es weiter im Leitfaden. „Wie jede IT-Ressource sind Web-Applikationen aber als Teil eines größeren und komplexen Systems von vielen Faktoren bestimmt, die teilweise wenig mit der Technologie zu tun haben.“ Darum könne die wirkliche und effektive Lösung nur in einem systembasierten Ansatz liegen.
Darin seien eine Reihe von Faktoren einzubeziehen: Business Support, Training, Lieferkette, Richtlinien und Standards, technische Kontrollen, ein fortlaufendes Scanning- und Code-Review-Programm, Projekt-Management, Aufbau eines wirksames Arsenals für Ernstfälle. „Es ist nur ein Teil der Aufgabe, dafür zu sorgen, dass neue Codes in einer sicheren Umgebung entwickelt werden“, schreibt ISACA zum Legacy Code-Problem. „Es muss ebenso Prozesse und Prozeduren geben, die bestehende Produktions-Umwelten im Internet regelmäßig auf Verletzbarkeit prüfen.“
ISACA weist darauf hin, dass ein auf diese Weise aufgesetzter Ansatz kaum frei von Hürden sein wird, die man idealerweise antizipiere. So könnten Zeit und Kosten für die Schulung der Entwickler im Unternehmen für Unmut sorgen. Der Einbau von Sicherheitscodes kann die Antwortzeit der Applikationen verzögern, was zu Verzögerungen der Arbeitsabläufe führen kann.
Das Scannen nach Sicherheitslücken kann Netzwerk-Traffic und Performance mindern. Deshalb sollte gemeinsam mit Business-Anwendern nach den idealen Time Frames und Methoden dafür gesucht werden. Veränderungen des Emergency Codes müssten jederzeit schnell überprüfbar sein. Ferner sei der Quellcode sicher abzuspeichern.