Aktuelle Praxishilfen:

Ganzheitlich digitale Rechnungsprozesse

In der Praxishilfe werden die kritischen Faktoren in der gegenwärtigen Realität

... [mehr]
Fitness-Check der IT-Infrastruktur

Die Praxishilfe untersucht die Leistungsbedingungen anhand von zehn zentralen Me

... [mehr]
Auswahl des IT-Providers nach der Service-Qualität

Anhand der Praxishilfe können die Anwender unter dem Gesichtspunkt der Service-Q

... [mehr]
Analyse der internen IT-Service-Qualität

Im Wettbewerb kommt nicht nur den IT-Technologien, sondern auch der Qualität der

... [mehr]
Anforderungsanalyse ECM

Die Praxishilfe beschäftigt sie sich insbesondere mit den zentralen Nutzenaspekt

... [mehr]
Suchen & Finden  
erweiterte Suche  

Strategische Roadmap zur Entwicklung einer hohen Web-Sicherheit

06.03.13

Zwar verlangen die Compliance-Vorschriften auch ein anforderungsgerechtes Sicherheitsprofil der Web-Anwendungen, tatsächlich bestehen hier in der Praxis häufig noch erhebliche Defizite. So ermittelte beispielsweise eine letztjährige Studie der mikado ag, dass die Unternehmen nur in jedem zehnten Fall wenigstens alle sechs Monate in ihren Portalen und Internetshops Sicherheitsanalysen vornehmen. Diese Zurückhaltung resultiert nicht zuletzt daraus, dass die Web-Sicherheit nur eine geringe Aufmerksamkeit genießt und die Konzentration stattdessen auf anderen Security-Prioritäten gerichtet ist.

„Die aktuell fast täglichen Meldungen über Hackerangriffe auf prominente Firmen zeigen, wie trügerisch die Sicherheit ist, in der sich viele Unternehmen wägen“, problematisiert mikado-Geschäftsführer Wolfgang Dürr. Als Ursache sieht er seinen Beratungserfahrungen zufolge jedoch weniger, dass das tatsächliche Bedrohungspotenzial ignoriert werde, sondern es an einem systematischen Zugang zu dem Thema fehle. Dürr hat deshalb eine Roadmap für den Aufbau der notwendigen Web-Sicherheit erarbeitet:

1. Den tatsächlichen Security-Bedarf präzise klären:
Nicht jede Web-Applikation hat zwangsläufig auch hohe Sicherheitsansprüche. Doch sobald eine Website nicht nur der reinen Informationspräsentation dient, sondern in weitere Unternehmenssysteme integriert ist, entsteht ein bedeutsames Risiko beispielsweise für unerlaubte Zugriffe auf vertrauliche Kundendaten, Unternehmensinformationen und Rechnungsdaten. Ebenso können dann bei fehlender Web-Sicherheit Eingriffe in die technische Infrastruktur mit zusätzlich problematischen Folgen vorgenommen werden. Diese Situation gilt etwa für alle Web-Shops. Insofern bedarf es zunächst einer Statusanalyse mit differenzierter Matrix der potenziellen Angriffsflächen. Aus ihr wird dann der individuelle Security-Bedarf mit gezielter Gewichtung der verschiedenen Risiken bei tiefen Eingriffen und ihren Konsequenzen abgeleitet.
2. Unklare Verantwortlichkeiten beseitigen:
Im Bewusstsein der Web-Verantwortlichen hat die Sicherheit auch deshalb vielfach noch keinen adäquaten Stellenwert, weil verschiedene funktionale Zuständigkeiten bestehen. So konzentriert sich die interne oder externe Web-Entwicklung auf die technische Lösung und der Provider widmet sich dem Hosting. Weiterhin kümmern sich der Vertrieb oder das Marketing um den Content und die Kommunikationsbelange. Außerdem gibt es noch die möglicherweise ganz woanders angesiedelt Funktion des Webmaster. Durch diese komplementäre Aufgabenstruktur verliert das Security-Thema im praktischen Alltag eine klare Zuordnung mit negativen Konsequenzen für das reale Niveau der Web-Sicherheit.
3. Umfassend den aktuellen Security-Status testen:
Fast 500 verschiedene Angriffsarten mit unterschiedlicher Gefährdungswirkung für die Web-Applikationen sind derzeit bekannt. Deshalb bedarf es Analysen über komplexe Penetrationsverfahren, in denen mögliche Zugriffsrisiken ermittelt werden. Eine relativ komfortable Methode bieten dafür Tools mit einem automatisierten Scanning der Web-Anwendungen. Deren Report gibt konkrete Hinweise darauf, welche möglichen Gefahren bestehen. Insbesondere bei kritischen Web-Applikationen wie etwa Internetshops empfehlen sich zusätzliche strukturierte manuelle Penetrationstests, in denen gleichzeitig auch die technischen und organisatorischen Bedingungen der Web-Sicherheit überprüft werden.
4. Security-Prozesse in das Change Management integrieren:
 Weil Web-Applikationen durch funktionale Erweiterungen und technische Neuerungen kontinuierlichen Veränderungen unterliegen, kann eine permanent fragile Security-Situation entstehen. Aus diesem Grund sind systematische Sicherheitsmaßnahmen als integraler Bestandteil der Veränderungen notwendig, die sowohl prozessual als auch in den Verantwortlichkeiten klar abgebildet werden müssen. Zu den Grundpflichten gehören dabei auch regelmäßig neue Penetrationstests nach technischen Eingriffen in die Web-Anwendungen, um mögliche Auswirkungen auf die Sicherheit zu ermitteln.
5. Notfallmanagement praxisgerecht organisieren:
 Selbst wenn optimale Sicherheitsvorkehrungen getroffen wurden, können Probleme angesichts der ständig neuen Angriffsmethoden nie ausgeschlossen werden. Dies verlangt die Entwicklung von Notfallszenarien mit unterschiedlichen Eskalationsstufen, um im Bedarfsfall nach definierten Vorgehensweisen schnell und wirksam handeln zu können. Die Erstellung und Pflege von Notfallplänen ist jedoch kein einmaliger Vorgang. Vielmehr handelt es sich hierbei um einen laufenden Prozess, der in seiner Komplexität häufig nur Tool-gestützt sinnvoll umgesetzt werden kann.

Weitere Meldungen

HelpMatics™ Online Suite – die IT Service Management Lösung aus der Cloud

Die COC AG gehört zu den ersten Anbietern, die mit der HelpMatics™ Suite eine ITSM-Plattfo

...
CRM und Business Intelligence stärker miteinander verheiraten

Die CRM-Anwender wollen sich zukünftig stärker der Integration ihrer Kundenmanagementsyste

...
Egip-Studie: Geschäftsbereiche fordern verstärkt mehr Eigenständigkeit bei der Prozessgestaltung

Immer mehr Fachbereiche der Unternehmen würden die Gestaltung ihrer Geschäftsprozesse lieb

...
Championship „Document Sharing“

Mit wissenschaftlicher Begleitung der Hochschule Koblenz führt die d.velop AG einen Champi

...
Das Produktionsmanagement benötigt eine spezialisierte IT

Durch die Fokussierung auf ERP-Systeme widmete sich die IT bisher vornehmlich den betriebs

...
INFORA veranstaltet Jahrestagung E-Akte

Die Unternehmensberatung INFORA GmbH führt im November 2009 erstmals eine Jahrestagung zum

...
Leitfaden zur Analyse der typischen Schwächen in den Kennzahlenkonzepten

Zwar gründen sich heutzutage fast alle wichtigen Unternehmensentscheidungen auf analysiert

...
Nur Zertifikate schützen Enterprise-WLANs vor fremden Zugriffen

Hacker von WLANs gehen fast immer nach dem gleichen Schema vor: Netzwerk finden, Datenpake

...
TÜV TRUST IT erweitert BSI-Zertifizierung als IT-Sicherheitsdienstleister für Penetrationstests

TÜV TRUST IT ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als IT-Sich

...
SEPA-Umfrage: Banken erwarten weitreichende Veränderungen für IT-Systeme

Der einheitliche Euro-Zahlungsverkehrsraum SEPA (Single Euro Payments Area) und die Zahlun

...