Foto: ISACA
Web-Anwendungen basieren auf Client-Servern, sind plattformunabhängig, benötigen nur überschaubare Rechenleistung und können bequem mit Online-Ressourcen und –Diensten integriert werden. Kurz gesagt: Diese Applikationen sind höchst attraktiv. Mit ihrer Hilfe lassen sich Prozessdauer und -kosten reduzieren, die Zufriedenheit der Kunden und der Gewinn steigern. Web-Applikationen öffneten aber auch Tür und Tor zum Ausspionieren sensibler Unternehmensdaten, zur Störung von Service-Prozessen und zum Diebstahl geistigen Eigentums, warnt ISACA. Die weltweit aktive Vereinigung von IT-Sicherheits- und Governance-Spezialisten hat nun ein Whitepaper veröffentlicht, das Firmen für die Risiken webbasierter Anwendungen sensibilisieren soll.
Wegen der vielversprechenden Chancen und Vorteil führten Unternehmen immer mehr hochwertige und hochvertrauliche Transaktionen online durch, berichtet Marc Vael, Leiter des Knowledge Boards von ISACA. „Aber in vielen Fällen stellen wir fest, dass das Management sich der tatsächlichen Sicherheitsrisiken nicht bewusst ist", so Vael weiter.
ISACA hat dabei SQL-Injections und Cross-Site Scripting im Sinn. Als weitere Gefahren werden Datenlecks und unsichere, weil direkte Objektreferenzen ausgemacht. Anti-Automation funktioniere zudem oft nur unzureichend. Laut einer Studie des Ponemon Institutes vom vergangenen Jahr seien 55 Prozent der Firmen der Ansicht, dass ihre Entwickler zu beschäftigt seien, um Sicherheitsfragen adäquat zu lösen.
Das Whitepaper enthält konsequenterweise viele strategische Ratschläge, wie Unternehmen den Risiken begegnen sollten. Zentral ist dabei der Systems Development Life Cycle (SDLC). Sicherheitsmaßnahmen müssten darin so früh wie möglich integriert werden – und zwar als nicht verhandelbare Komponenten des Prozesses. Programmierer müssten angemessen in sicheren Codierungs-Techniken geschult und dabei unterstützt werden, das Erlernte auch umzusetzen.
Ferner sei ein robuster und wirksamer Qualitätssicherungs-Prozess nötig, der zu ständigen und kontrollierten Qualitätstests führe. Diese Prüfungen dürften sich nicht nur auf die Funktion der Applikationen fokussieren, sondern ebenso auf die Sicherheitsaspekte. Sobald Anwendungen im Einsatz seien, müsse ein kontinuierliches Monitoring der entdeckten Schwachstellen erfolgen. Sobald Schwachstellen gefunden würden, müssten entschlossene Aktionen erfolgen.
Arbeitsabläufe können sich verzögern
„Das Problem der Sicherheit von Web-Applikationen wäre sehr leicht zu lösen, wenn die Antwort einfach lauten würde, dass die Programmierer alles über das Schreiben sicherer Codes und die Beseitigung von Gefahrenquellen wissen müssen“, heißt es weiter im Leitfaden. „Wie jede IT-Ressource sind Web-Applikationen aber als Teil eines größeren und komplexen Systems von vielen Faktoren bestimmt, die teilweise wenig mit der Technologie zu tun haben.“ Darum könne die wirkliche und effektive Lösung nur in einem systembasierten Ansatz liegen.
Darin seien eine Reihe von Faktoren einzubeziehen: Business Support, Training, Lieferkette, Richtlinien und Standards, technische Kontrollen, ein fortlaufendes Scanning- und Code-Review-Programm, Projekt-Management, Aufbau eines wirksames Arsenals für Ernstfälle. „Es ist nur ein Teil der Aufgabe, dafür zu sorgen, dass neue Codes in einer sicheren Umgebung entwickelt werden“, schreibt ISACA zum Legacy Code-Problem. „Es muss ebenso Prozesse und Prozeduren geben, die bestehende Produktions-Umwelten im Internet regelmäßig auf Verletzbarkeit prüfen.“
ISACA weist darauf hin, dass ein auf diese Weise aufgesetzter Ansatz kaum frei von Hürden sein wird, die man idealerweise antizipiere. So könnten Zeit und Kosten für die Schulung der Entwickler im Unternehmen für Unmut sorgen. Der Einbau von Sicherheitscodes kann die Antwortzeit der Applikationen verzögern, was zu Verzögerungen der Arbeitsabläufe führen kann.
Das Scannen nach Sicherheitslücken kann Netzwerk-Traffic und Performance mindern. Deshalb sollte gemeinsam mit Business-Anwendern nach den idealen Time Frames und Methoden dafür gesucht werden. Veränderungen des Emergency Codes müssten jederzeit schnell überprüfbar sein. Ferner sei der Quellcode sicher abzuspeichern.
„Stellen Sie sicher, dass ein effektiver Governance-Rahmen vorhanden ist, der fortlaufend für eine Anpassung von Mitarbeitern, Prozessen und Technologien sorgt“, heißt es weiter im Whitepaper. „Sorgen Sie dafür, dass passende Reglementierungen wie etwa PCI berücksichtigt und adäquat angewendet werden.“
Problemfaktor Legacy-Codes
Im Bereich der Belegschaft benötige es klare Rollenzuweisungen ebenso wie Unterstützung innerhalb der Unternehmensführung. Eine SDLC-Prozess-Dokumentation mit regelmäßigen Kontrollen ist laut ISACA ebenfalls unerlässlich. Zu achten sei ferner auf Standards und Prozesse, die gewährleisten, dass von Dritten bereitgestellte oder gesteuerte Web-Anwendungen den gleichen Kontrollen unterliegen wie die eigenen. Auch technische Kontrollen seien unabdingbar; vor allem in Umwelten mit hoher Menge an Legacy Code seien Instrumente wie Application-Firewalls unverzichtbar.
„Es ist für Unternehmen möglich, die vielen Vorzüge von Web-Applikationen zu genießen, ohne signifikant höheren Risiken ausgesetzt zu sein“, lautet das Fazit von ISACA. Dafür sei aber ein strukturierter und systemischer Prozess entscheidend, der den Entwicklungslebenszyklus und seine ergänzenden Prozesse absichere.
Das Whitepaper „Web Application Security: Business and Risk Considerations“ steht auf der ISACA-Website zum Download bereit.