Systemschwächen einer Anwendung vermeiden

Die Veröffentlichung Engineering Principles for Information Technology Security (A Baseline for Achieving Security) des amerikanischen National Institute of Standards and Technology (NIST) sieht die Herleitung von System- und Sicherheitsanforderungen in der Entwicklungsphase vor. Ich stimme zwar zu, dass einige Anforderungen erst während der Entwicklungsphase im Detail definiert werden sollten, doch müssen die grundsätzlichen Anforderungen bereits während der Initialisierungsphase in einer Sicherheitsrichtlinie dokumentiert werden.

In der Initialisierungsphase wird die Problematik auf einer höheren Ebene definiert, die dem Entwickler einen Überblick über das System aus Sicht des Kunden ermöglicht. Zählt Sicherheit zu den Kernpunkten des Systemdesigns, müssen die grundlegenden Sicherheitsziele in diese Betrachtung aus der Vogelperspektive eingeschlossen sein. Die Sicherheitsrichtlinie sollte die Anforderungen an das System sowie den Sicherheitsbedarf des Systems beinhalten. Vorrangiges Ziel der Sicherheitsrichtlinie ist die Gewährleistung von Integrität, Vertraulichkeit, Sicherheit, Zuverlässigkeit und Verfügbarkeit des Systems. Ein System, dem man nicht vertraut, wird man auch nicht verwenden.

Beispielsweise könnte ich eine sehr einfache Anwendung zur Messung der Kundenzufriedenheit entwickeln, die das Ziel hat, die Kundenloyalität zu steigern. Das System beruht auf den Antworten von Kunden auf Meinungsumfragen zur Kundenzufriedenheit. Zusätzliche Daten werden u.a. durch Informationen zu Händlern, Unternehmen und Kundenkontakten sowie durch Angaben zu Datum, Menge und Artikel der Verkäufe geliefert. Das Unternehmen setzt die Anwendung zur Erkennung von positiven und negativen Entwicklungen im Verkaufsgebiet ein, so dass das Management diese eindämmen bzw. fördern kann. Jeder Händler kann seine eigenen Kundenzufriedenheitswerte sowie die des Unternehmens insgesamt abrufen, er kann jedoch nicht die Werte von anderen Händlern einsehen. Konkurrierende Unternehmen können ebenfalls nicht die Ergebnisse der anderen Unternehmen einsehen, der Zugriff auf landesweite Durchschnittswerte ist jedoch zulässig. Wenn die Daten der Umfragen durch den Kunden bestätigt worden sind, dürfen sie nicht mehr veränderbar sein. Damit die durch die Anwendung gewonnenen Daten verwendbar sind, müssen die Ergebnisse vertrauenswürdig sein.

Nachdem der Kunde das Problem definiert und die Systemanforderungen formuliert hat, habe ich ihn gebeten, bei der Erstellung einer Sicherheitsrichtlinie mitzuwirken. Diese Richtlinie hat sich als sehr eindeutig erwiesen. Wie bereits erwähnt, ist das Ziel einer Sicherheitsrichtlinie die Erfüllung der nachfolgenden Kriterien:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Zuverlässigkeit
  • Sicherheit

Die Vertraulichkeit der Daten ist gegeben, da die Vertriebsstellen lediglich ihre eigenen Ergebnisse sowie den Durchschnitt des gesamten Unternehmens anzeigen können und Unternehmen lediglich ihre eigenen Ergebnisse sowie den landesweiten Durchschnitt einsehen können. Die Integrität ist ebenfalls berücksichtigt, indem Quelldaten nicht verändert werden können. Der Kunde wünscht eine Verfügbarkeit der Anwendung während der üblichen Geschäftszeiten. Das System berücksichtigt das Kriterium der Zuverlässigkeit, da alle durchgeführten Umfragen nach Kunden und Zeitangaben der Beantwortung und Übermittlung zurückverfolgt werden können. Und schließlich muss eine angemessene Sicherheit gewährleistet sein, die mit systemeigenen Sicherheitsmechanismen die verwalteten Daten schützt. Zwar ist dies lediglich eine verkürzte Sicherheitsrichtlinie, sie entspricht jedoch den Zielsetzungen.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

5 Tagen ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS

Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…

5 Tagen ago

Gefährliche Anzeigen für Passwortmanager Bitwarden verbreiten Malware

Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…

5 Tagen ago

Public Cloud: Gartner erwartet 2025 weltweite Ausgaben von 723 Milliarden Dollar

Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.

6 Tagen ago

iPhone 15 ist bestverkauftes Smartphone im dritten Quartal

Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…

6 Tagen ago