Ratschläge für Unternehmen

Security-Leitfaden für Web-Applications

28. November 2011
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Die ISACA warnt davor, Web-Anwendungen ungeschützt zu implementieren. Wirksamer Schutz erfordere einen umfassenden Ansatz - von Standards bis Projektmanagement.
So wirken sich Web-Bedrohungen aufs Business aus: eine Übersicht von ISACA.
So wirken sich Web-Bedrohungen aufs Business aus: eine Übersicht von ISACA.
Foto: ISACA

Web-Anwendungen basieren auf Client-Servern, sind plattformunabhängig, benötigen nur überschaubare Rechenleistung und können bequem mit Online-Ressourcen und –Diensten integriert werden. Kurz gesagt: Diese Applikationen sind höchst attraktiv. Mit ihrer Hilfe lassen sich Prozessdauer und -kosten reduzieren, die Zufriedenheit der Kunden und der Gewinn steigern. Web-Applikationen öffneten aber auch Tür und Tor zum Ausspionieren sensibler Unternehmensdaten, zur Störung von Service-Prozessen und zum Diebstahl geistigen Eigentums, warnt ISACA. Die weltweit aktive Vereinigung von IT-Sicherheits- und Governance-Spezialisten hat nun ein Whitepaper veröffentlicht, das Firmen für die Risiken webbasierter Anwendungen sensibilisieren soll.

Wegen der vielversprechenden Chancen und Vorteil führten Unternehmen immer mehr hochwertige und hochvertrauliche Transaktionen online durch, berichtet Marc Vael, Leiter des Knowledge Boards von ISACA. „Aber in vielen Fällen stellen wir fest, dass das Management sich der tatsächlichen Sicherheitsrisiken nicht bewusst ist", so Vael weiter.

ISACA hat dabei SQL-Injections und Cross-Site Scripting im Sinn. Als weitere Gefahren werden Datenlecks und unsichere, weil direkte Objektreferenzen ausgemacht. Anti-Automation funktioniere zudem oft nur unzureichend. Laut einer Studie des Ponemon Institutes vom vergangenen Jahr seien 55 Prozent der Firmen der Ansicht, dass ihre Entwickler zu beschäftigt seien, um Sicherheitsfragen adäquat zu lösen.

Das Whitepaper enthält konsequenterweise viele strategische Ratschläge, wie Unternehmen den Risiken begegnen sollten. Zentral ist dabei der Systems Development Life Cycle (SDLC). Sicherheitsmaßnahmen müssten darin so früh wie möglich integriert werden – und zwar als nicht verhandelbare Komponenten des Prozesses. Programmierer müssten angemessen in sicheren Codierungs-Techniken geschult und dabei unterstützt werden, das Erlernte auch umzusetzen.

Zur Startseite