Secure Software Development – Die ISO 27034 im Überblick – 1 von 7 (Serie)

Information Security ist in aller Munde. Aber was bedeutet „Information Security“ bei der Entwicklung oder beim Kauf von Anwendungen. Wie können die Angriffsvektoren bei Software minimiert und dadurch die Stabilität und Sicherheit der Anwendungen verbessert werden?    

Was genau ist „Application Security“?

„Application Security“ ist die angewandte Informationssicherheit auf Anwendungen, also von den Inhalten und Maßnahmen breiter gefasst als die „reine“ Sicherheit von Software. Dabei ist „Anwendung“ eine IT-Lösung (Software, Daten, Prozeduren) die einen Geschäftsprozess oder eine Anforderung an eine Geschäftsfunktion abbildet, realisiert und automatisiert. Dabei geht das Sicherheitsmodell grundsätzlich von einer gesicherten und „unverwundbaren“ Infrastruktur aus. – Informationssicherheit bei Infrastrukturen (Netzwerk, Betriebssystem, etc.) steht auf einem anderen Blatt.

„Application Security“ ist für unterschiedliche Zielgruppen adressierbar. Dabei sind die Leitung (Executives, Management, Führungskräfte), die Bereitstellungs- und Betriebseinheiten, Käufer, Lieferanten, Auditoren und Benutzer zu unterscheiden.

Die Prinzipien der Anwendungssicherheit lauten:

  • Sicherheit ist eine grundlegende Anforderung
  • Anwendungssicherheit ist kontextbezogen
  • Angemessener Einsatz von Anwendungssicherheit
  • Anwendungssicherheit sollte nachweisbar sein

Was sind die einzelnen Bausteine einer Application Security ?

Zunächst muss der Umfang („scope“) der Anwendungssicherheit abgegrenzt werden. Dabei spielt der Kontext von Geschäft, Regularien und Technologie eine entscheidende Rolle.

Hinzu kommt der Lebenszyklus einer Anwendung „Application Lifecycle“ in Form der Anwendungsprozesse. Letztlich die Daten, Spezifikationen und Rollen/ Rechte in der Anwendung. Man kann diese Bausteine als Landkarte der Anwendung bezeichnen.

Die Prinzipien der Informationssicherheit CIA (Vertraulichkeit, Integrität und Verfügbarkeit) werden in der Anwendungssicherheit um die Authentifikation und Nachweisbarkeit („non-reputation“) ergänzt.

Tabelle 1: Application Security Scope ISO/IEC 27034

Business Context Regulatory Context
Application life cycle processes Processes involved with the application
Technological Context Application Specification
Application Data Organisation and User Data
Roles and Permissions  

Dabei bildet der „Business Context“ alle Anforderungen, Praktiken und Vorgaben (z.B. Einschränkungen) der Geschäftsbereiche im Unternehmen ab. Der „Regulatory Context“ betrifft die Gesetze, Richtlinien, Verordnungen, aber auch vereinbarte gemeinschaftliche Regeln (sogenannte „common rules“). Diese haben einen Einfluss auf die Funktionalität und die Nutzung der Daten in der Anwendung. Das gilt zum Beispiel für die Risiken in der Personalverwaltung durch die Gesetzte in den verschiedenen Ländern, in denen diese eingesetzt wird.

Wie kann ein hoher Standard an „Application Security“ erreicht werden?

Letztendlich sollen die einzelnen Schritte des „Application Security Lifecycles“ iterativ und regressiv durchlaufen werden. Dabei spielt ein möglichst hochwertiges „Design & Concept“ eine entscheidende Rolle.

Studien und Erfahrungen aus Entwicklungsprojekten sehen hier einen Faktor von 1:3 oder 1:4 bei der Nachbesserung von Verfehlungen aus dem Design, bzw. dem Konzept in der Wartungs- und Überwachungsphase. Die ausgewählten „Controls“, also die einzelnen Maßnahmen, abgeleitet aus dem „Application Risk Assessment“, sollen an das residuale Risiko angepasst sein. Das heißt „höheres Risiko“ führt zu anderen und ggf. einer höheren Anzahl an Maßnahmen.      

Wie geht es dazu weiter?

In den nächsten Publikationen werden wir uns den einzelnen Schritten eines Application Security Lifecycles widmen. Von der Anforderungsanalyse über das Applikations-Risikomanagement bis hin zu Betrieb, Pflege und Rückbau der Anwendung.

30. November 2022

Dr. Gerd Grimberger
Rechtsinformatiker

Weitere Beiträge

KI VO Stand 2024 Allgemeine Regelungen Teil III

Anwendungsbereich Das Erste, was man prüfen muss, wenn man im öfffentlichen Recht arbeitet: Wer ist Adressat, auf welchem Territorium gilt die AI-VO, was ist der objektive Tatbestand? Was ist ein KI System? Adressat: Nach Art 3 II: Die Provider sind

Mehr lesen »
Nach oben scrollen