Aktuelle Praxishilfen:

Ganzheitlich digitale Rechnungsprozesse

In der Praxishilfe werden die kritischen Faktoren in der gegenwärtigen Realität

... [mehr]
Fitness-Check der IT-Infrastruktur

Die Praxishilfe untersucht die Leistungsbedingungen anhand von zehn zentralen Me

... [mehr]
Auswahl des IT-Providers nach der Service-Qualität

Anhand der Praxishilfe können die Anwender unter dem Gesichtspunkt der Service-Q

... [mehr]
Analyse der internen IT-Service-Qualität

Im Wettbewerb kommt nicht nur den IT-Technologien, sondern auch der Qualität der

... [mehr]
Anforderungsanalyse ECM

Die Praxishilfe beschäftigt sie sich insbesondere mit den zentralen Nutzenaspekt

... [mehr]
Suchen & Finden  
erweiterte Suche  

Strategische Roadmap zur Entwicklung einer hohen Web-Sicherheit

06.03.13

Zwar verlangen die Compliance-Vorschriften auch ein anforderungsgerechtes Sicherheitsprofil der Web-Anwendungen, tatsächlich bestehen hier in der Praxis häufig noch erhebliche Defizite. So ermittelte beispielsweise eine letztjährige Studie der mikado ag, dass die Unternehmen nur in jedem zehnten Fall wenigstens alle sechs Monate in ihren Portalen und Internetshops Sicherheitsanalysen vornehmen. Diese Zurückhaltung resultiert nicht zuletzt daraus, dass die Web-Sicherheit nur eine geringe Aufmerksamkeit genießt und die Konzentration stattdessen auf anderen Security-Prioritäten gerichtet ist.

„Die aktuell fast täglichen Meldungen über Hackerangriffe auf prominente Firmen zeigen, wie trügerisch die Sicherheit ist, in der sich viele Unternehmen wägen“, problematisiert mikado-Geschäftsführer Wolfgang Dürr. Als Ursache sieht er seinen Beratungserfahrungen zufolge jedoch weniger, dass das tatsächliche Bedrohungspotenzial ignoriert werde, sondern es an einem systematischen Zugang zu dem Thema fehle. Dürr hat deshalb eine Roadmap für den Aufbau der notwendigen Web-Sicherheit erarbeitet:

1. Den tatsächlichen Security-Bedarf präzise klären:
Nicht jede Web-Applikation hat zwangsläufig auch hohe Sicherheitsansprüche. Doch sobald eine Website nicht nur der reinen Informationspräsentation dient, sondern in weitere Unternehmenssysteme integriert ist, entsteht ein bedeutsames Risiko beispielsweise für unerlaubte Zugriffe auf vertrauliche Kundendaten, Unternehmensinformationen und Rechnungsdaten. Ebenso können dann bei fehlender Web-Sicherheit Eingriffe in die technische Infrastruktur mit zusätzlich problematischen Folgen vorgenommen werden. Diese Situation gilt etwa für alle Web-Shops. Insofern bedarf es zunächst einer Statusanalyse mit differenzierter Matrix der potenziellen Angriffsflächen. Aus ihr wird dann der individuelle Security-Bedarf mit gezielter Gewichtung der verschiedenen Risiken bei tiefen Eingriffen und ihren Konsequenzen abgeleitet.
2. Unklare Verantwortlichkeiten beseitigen:
Im Bewusstsein der Web-Verantwortlichen hat die Sicherheit auch deshalb vielfach noch keinen adäquaten Stellenwert, weil verschiedene funktionale Zuständigkeiten bestehen. So konzentriert sich die interne oder externe Web-Entwicklung auf die technische Lösung und der Provider widmet sich dem Hosting. Weiterhin kümmern sich der Vertrieb oder das Marketing um den Content und die Kommunikationsbelange. Außerdem gibt es noch die möglicherweise ganz woanders angesiedelt Funktion des Webmaster. Durch diese komplementäre Aufgabenstruktur verliert das Security-Thema im praktischen Alltag eine klare Zuordnung mit negativen Konsequenzen für das reale Niveau der Web-Sicherheit.
3. Umfassend den aktuellen Security-Status testen:
Fast 500 verschiedene Angriffsarten mit unterschiedlicher Gefährdungswirkung für die Web-Applikationen sind derzeit bekannt. Deshalb bedarf es Analysen über komplexe Penetrationsverfahren, in denen mögliche Zugriffsrisiken ermittelt werden. Eine relativ komfortable Methode bieten dafür Tools mit einem automatisierten Scanning der Web-Anwendungen. Deren Report gibt konkrete Hinweise darauf, welche möglichen Gefahren bestehen. Insbesondere bei kritischen Web-Applikationen wie etwa Internetshops empfehlen sich zusätzliche strukturierte manuelle Penetrationstests, in denen gleichzeitig auch die technischen und organisatorischen Bedingungen der Web-Sicherheit überprüft werden.
4. Security-Prozesse in das Change Management integrieren:
 Weil Web-Applikationen durch funktionale Erweiterungen und technische Neuerungen kontinuierlichen Veränderungen unterliegen, kann eine permanent fragile Security-Situation entstehen. Aus diesem Grund sind systematische Sicherheitsmaßnahmen als integraler Bestandteil der Veränderungen notwendig, die sowohl prozessual als auch in den Verantwortlichkeiten klar abgebildet werden müssen. Zu den Grundpflichten gehören dabei auch regelmäßig neue Penetrationstests nach technischen Eingriffen in die Web-Anwendungen, um mögliche Auswirkungen auf die Sicherheit zu ermitteln.
5. Notfallmanagement praxisgerecht organisieren:
 Selbst wenn optimale Sicherheitsvorkehrungen getroffen wurden, können Probleme angesichts der ständig neuen Angriffsmethoden nie ausgeschlossen werden. Dies verlangt die Entwicklung von Notfallszenarien mit unterschiedlichen Eskalationsstufen, um im Bedarfsfall nach definierten Vorgehensweisen schnell und wirksam handeln zu können. Die Erstellung und Pflege von Notfallplänen ist jedoch kein einmaliger Vorgang. Vielmehr handelt es sich hierbei um einen laufenden Prozess, der in seiner Komplexität häufig nur Tool-gestützt sinnvoll umgesetzt werden kann.

Weitere Meldungen

Universitäten entwickeln quelloffenes ERP-System

Ein Zusammenschluss von amerikanischen Universitäten plant ein quelloffenes ERP-System zu

...
ITIL 3: exagon erster akkreditierter Schulungsanbieter in Deutschland

Der IT Service Management-Spezialist exagon consulting & solutions ist das erste Schul

...
McAfee: Mittelständler schlecht auf Cyber-Bedrohungen vorbereitet

Für IT-Security scheint der deutsche Mittelstand kein Geld übrig zu haben. Denn einer aktu

...
Bechmarkingprojekt der compamedia sucht den Top-Arbeitgeber im Mittelstand

Laut dem Institut für Mittelstandsforschung in Bonn sind 70,5 Prozent aller Beschäftigten

...
d.velop International mit „ecspand for SharePoint“ auf der AIIM 2011 in Washington D.C.

d.velop, führender europäischer Hersteller für Enterprise Content Management (ECM) Systeme

...
BITKOM: Markt für E-Reader wächst um ein Drittel

Der heimische Markt für E-Reader soll in diesem Jahr um ein Drittel zulegen. Der Umsatz mi

...
ORGA-Studie: Hosting-Dienstleister müssen mehr Sicherheit bieten

Die Unternehmen haben heute beim Hosting von ERP-Anwendungen umfassendere Security-Anforde

...
Die Mär von absolut sicheren WebBrowsern

Im Zuge der aktuellen Diskussion um den Google-Browser warnt der IT-Security-Spezialist So

...
Dell hilft bei der Implementierung von Microsoft Exchange 2010

Mit umfangreichen Services (ProConsult) möchte der Distributor Dell Unternehmen bei der Ei

...
BITKOM gründet Strategiekreis Informationsgesellschaft

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) hat d

...