Per Rundumschlag lässt sich also die komplexe Routine kaum bewältigen. Das Wichtigste ist es, zu erkennen, dass keine einzelne Maßnahme ausreicht, die Sicherheit zu garantieren. Das heißt, es gibt keine „Silver Bullet“. Experten empfehlen, eine Verteidigungslösung aufzubauen, die aus mehreren Schichten besteht. Das schließt die Ausbildung der Mitarbeiter genauso ein wie das Absichern der Maschine, auf der die Webapplikationen laufen.
Entwicklern fehlt oft die notwendige Erfahrung, wie ein Angreifer zu denken und zu handeln. |
Zusätzlich ist es oft sinnvoll, die eigene Anwendung auf Sicherheitslösungen durch Code Audits oder Penetration Testing überprüfen zu lassen. Dabei ist es normalerweise besser, diese Überprüfung von Spezialisten durchführen zu lassen, die nicht an der Entwicklung der Software selbst gearbeitet haben, zum Beispiel durch externe „Tiger-Teams„. Der Grund liegt in dem Umstand der „Betriebsblindheit“, nämlich dass der Entwickler seine eigenen Fehler nicht so leicht findet. Auch fehlt es oft an der notwendigen Erfahrung, wie ein Angreifer zu denken und zu handeln.
Daneben gilt es, den richtigen Hebel zwischen Technik, Mensch und Organisation zu finden. Im Fokus steht insbesondere die Zunft der Programmierer. Sie müssen schließlich Anwendungen entwickeln, die möglichst wenige Fehler haben. Dazu kann ein Unternehmen sowohl technisch als auch organisatorisch beitragen. Auf der einen Seite können spezielle Entwicklungswerkzeuge bereitgestellt, auf der anderen Seite die Mitarbeiter mit zusätzlichen Schulungen ausgebildet werden. Ganz wichtig ist es aber auch, ein Klima zu schaffen, in dem Mitarbeiter nicht nur für die „Funktionalität“ belohnt werden, sondern auch der sichere Code einen Teil der Lohn- und Leistungsvereinbarung darstellt.
Im Idealfall trägt das Unternehmen für eine gute Ausbildung der Programmierer Sorge. Hier sind auch die Universitäten gefordert, die bisher noch immer zu wenig Gewicht auf das Erstellen korrekter und getesteter Programme legen, und meist auch kaum Security-Inhalte in die Lehrpläne integriert haben. Zusätzliche Workshops versuchen, die Sensibilität der Mitarbeiter für klassische Sicherheitsprobleme und Programmierfehler generell zu schärfen.
Neueste Kommentare
Noch keine Kommentare zu Sicherheit in Webanwendungen: Maßnahmen und Best Practices
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.