In seinem “Leitfaden zur Entwicklung sicherer Webanwendungen” gibt das bsi viele wertvolle Hinweise.
Gut finde ich den relativ “pragmatischen” Ansatz des bsi, der wesentlich näher an der Praxisumsetzung ist als die eigentliche Norm.
Laut einer Studie im Vereinigten Königreich sollen immerhin 86% der Angriffe auf Schwachstellen in Webanwendungen zurückzuführen sein.
Man geht davon aus, dass auch andere Staaten ähnlich liegen.
Die Grundsätze der ISO 27001 gelten natürlich auch für Software und so sollen “Vertraulichkeit”, “Integrität” und die “Verfügbarkeit” die primären und z.B. “Authentizität oder Nicht-Abstreitbarkeit” die sekundären Schutzziele sein.
Die “Assets” sind bei einer Software primär die verarbeiteten Daten.
Man darf aber auch den Aspekt nicht unberücksichtigt lassen, dass Software selbst zu einem Problem werden kann.
Dabei sind in der Regel andere “Assets” betroffen und Fehler in der Software sind nur das “Einfallstor”.
Ich will nun nicht die Inhalte des Leitfadens “durchkauen” – lesen kann jeder selbst.
Mir geht es um eine Fußzeile auf Seite 7:
Eine allgemeine Verbesserung der Softwarequalität wird auch durch gezielte Einbeziehungen und Schulung der an der Erstellung der Anwendung beteiligten Personen erreicht. (3)
(3) Die WhiteHat Website Security Statistics Report 2013 ([White_2013]) kommt zu einem sehr anschaulichen Ergebnis: Organisationen, die in Schulung und Sensibilisierung zum Thema IT-Sicherheit investieren, reduzieren die Anzahl der Schwachstellen um 40%, beseitigen diese 59% schneller und müssen nur bei 14% der Fälle nachbessern.
Wieder ist “Schulung / Training” ein essentieller Bestandteil im Gesamtkonzept.
Ich selbst bin – vielleicht auch weil meine Wurzeln im Schulungsbereich liegen – ein großer Freund von offener und zielgerichteter Kommunikation.
Alle Mitarbeiter/-innen eines Unternehmens sollten, egal in welcher Funktion sie tätig sind, regelmäßig ein “Lagebild” erhalten.
Was nützt es mir, wenn die Entwickler vor zwei Jahren eine Schulung zum Thema “sichere Software” erhalten haben, zwischenzeitlich aber die “OnPrem”-Lösungen in die Cloud gewandert sind.
Um das Unternehmen effizient vor möglichen Angriffen schützen zu können, müssen aktuelle Erkenntnisse gesammelt, bewertet und wieder kommuniziert werden. Einmalige Schulungen können das nicht leisten.
Größere und mittelständische Unternehmen könnten so etwas im Rahmen der meist vorhandenen “internen Kommunikation” einbinden.
Kleinere Unternehmen werden sich deutlich schwerer tun – meist fungiert dort die “Küchenzeitung” als Mittel zur Informationsverbreitung.
Deshalb sollten dort die Admins, egal ob intern oder extern, diese Aufgabe übernehmen.
Als Unternehmensleitung oder Führungskraft sollten Sie sich darum kümmern, egal ob es in Ihrem Unternehmen ein ISMS gibt oder nicht.
Bitte denken Sie immer daran – selbst wenn Sie eine Cyberversicherung haben – die Imageschäden durch einen erfolgreichen Cyberangriff und die Kompromittierung von Daten Ihrer Kunden oder Geschäftsgeheimnissen können Sie niemals durch eine Versicherung abdecken.
Vertrauen kann man nicht kaufen!