Sichere Applikationen – aber wie?
Sichere Anwendungen brauchen mehr als Software-Codes
Normative Vorgaben hinken hinterher
Konkret für die Applikationssicherheit bietet sich seiner Meinung nach eher die ISO 27034-1 (Guidelines for Application Security) an, die Ende 2012 veröffentlicht wurde. Dieser erste Teil der neuen Norm adressiert die Grundlagen für das Thema Applikationssicherheit und stellt Definitionen, Konzepte, Prinzipien und Prozesse vor. Hier gibt es Hinweise zur Integration von Sicherheit in das Applikationsmanagement, auf Rahmenwerke und auf Kontrollelemente.
"Ins Detail für die Umsetzung geht dieser Teil 1 jedoch nicht, dies soll in den Teilen 2 bis 5 erfolgen, die erst noch geschrieben werden müssen", so Maucher. "Insofern mangelt es für die sichere Anwendungsentwicklung immer noch an normativen Vorgaben, an denen sich die Unternehmen orientieren können - ganz im Gegensatz etwa zur Netzwerk- oder Serversicherheit. In beiden Bereichen existieren bereits seit vielen Jahren detaillierte Standards."
HP Enterprise Services hat daher ein eigenes Rahmenwerk entwickelt, das Unternehmen helfen soll, die richtigen Prozesse und Regeln für eine sichere Applikationsentwicklung aufzusetzen. Es fokussiert insgesamt fünf Bereiche von Richtlinien und Vorgaben über Prozesse, Tools und Werkzeuge sowie das Governance Modell bis hin zur Kommunikation und Schulung.
"Beim Thema Richtlinien und Vorgaben geht es darum zu beschreiben, was grundsätzlich im Unternehmen getan werden muss, um für eine sichere Anwendungsentwicklung zu sorgen. Dies sind zum einen Vorgaben für die Qualitätssicherung. Daneben sollten Organisationen auch eine Plattform mit spezifischen Entwickler-Leitfäden zur sicheren Anwendungsentwicklung aufbauen", rät HP-Experte Maucher.
Bei letzterer sollten Best Practices verschiedener Organisationen einfließen: Dazu gehören die Business Application Security Initiative (BIZEC), die Sicherheitsstandards für SAP-Systeme etabliert; Common Weakness Enumeration (CWE), ein Standardisierungsprojekt fu?r die Beschreibung von Sicherheitsschwachstellen, getrieben durch die amerikanische Non-Profit-Organisation MITRE Cooperation; das Open Web Application Security Project (OWASP), das ebenso wie das Web Application Security Consortium (WASC) Web Anwendungen fokussiert.
Nicht nur die IT-Organisation sollte involviert sein
Das Thema Prozesse empfiehlt Maucher umfassender anzugehen, als dies die ISO 20000 beziehungsweise die IT Infrastructure Library (ITIL) als Quasi-Standard für das IT Service Management vorgeben: So sollten neben den klassischen, die IT-Organisation betreffenden ITIL-Disziplinen Demand Management, Change Management, Incident Management, Problem Management und Continual Service Improvement auch Abläufe im Einkauf und Beschaffung auf den Security-Prüfstand kommen.
"Wenn man Entwicklungsleistungen einkaufe, muss beispielsweise sichergestellt sein, dass die Dienstleister entsprechende Vertraulichkeitserklärungen unterschrieben haben, dass man Zugriff hat auf den Code, den sie entwickeln und dass sie den Code mit den gleichen Tools und Sicherheitsstandards entwickeln wie die interne IT. Das muss rechtlich abgesichert sein", so Maucher.
Auch die in der Anwendungsentwicklung verwendeten Methoden und Werkzeuge sollten einem Sicherheits-Check unterzogen werden. Viele Unternehmen nutzen heute zwar Werkzeuge für - zum Teil automatisierte -Softwaretests.