Worum geht es?
Dass Software und Systeme bereits mit Blick auf die Informationssicherheit entwickelt werden, ist mittlerweile keine Option, sondern Notwendigkeit. Jegliche bekanntwerdende Schwachstelle birgt mittlerweile das Risiko, sofort für Angriffe genutzt zu werden. Dass Hersteller diesbezüglich zunehmend rechtlich in die Pflicht genommen werden, ist folgerichtig.
Die Norm ISO 27002 gibt im hier besprochenen Kapitel 8.25 einige Empfehlungen mit dem Ziel, Informationssicherheit zum festen Bestandteil eines Secure Software Development Life Cycles (SSDLC) zu machen.
Was empfiehlt die ISO 27002?
Im Wesentlichen schlägt die Norm folgendes vor:
- Trennung der Entwicklung-, Test- und Produktionsumgebung. Die fast wichtigste Maßnahme sorgt nicht nur dafür, dass Fehler sich nicht auf die produktive Umgebung auswirken können. Eine solche Trennung ist auch oft aus rechtlichen Gründen notwendig, etwa weil zu Entwicklungs- oder Testzwecken keine echten Daten genutzt werden dürfen.
- Die im Rahmen der Entwicklung zu beachtenden Vorgaben sollten klar definiert und dokumentiert werden. Neben Aussagen zur möglichst sicheren Entwicklungsmethodik sind auch klare Regeln für die verwendeten Programmiersprachen angebracht. Die typischen Sicherheitsrisiken einer bestimmten Programmiersprache sollten bereits in den entsprechenden Richtlinien berücksichtigt und durch angemessene Maßnahmen vermieden werden.
- Ebenso müssen die Anforderungen in der Spezifikations- und Entwurfsphase bestimmt werden. Hierzu gehört unter anderem, wer Zugriff auf die Entwicklung erhält und auf welchem Wege, wie allgemein Datenverlust vorgebeugt werden kann und die Integrität von Daten und Systemen erhalten bleibt.
- Auf dem Weg der Entwicklung sollten Kontrollpunkte festgelegt werden, an denen die Sicherheit überprüft und über den weiter eingeschlagenen Weg entschieden wird.
- Damit verbunden sollten Sicherheits- und Systemtests erfolgen. Hierzu eignen sich beispielsweise Penetrationstests oder Code bzw. Vulnerability Scans.
- Um jegliche Beeinflussung durch Unbefugte zu vermeiden, sollten jeglicher Quellcode und die dazugehörigen Konfigurationen sicher verwahrt werden. Auch eine Versionskontrolle hinsichtlich sämtlicher Veränderungen ist dringend notwendig. Hierzu bietet sich der Einsatz von Repositories an, auf die nur ausgewählte Personen Zugriff erhalten.
- Selbstverständlich müssen die mit der Entwicklung betrauten Personen ausreichend qualifiziert sein. Dies betrifft nicht nur die Programmierung an sich, sondern gerade auch die Fähigkeit, Schwachstellen zu verhindern, gegebenenfalls zu finden und dann auch zu beheben.
- Dass all dies auch bei ausgelagerter Entwicklung sichergestellt bleiben muss, ist selbstverständlich.
Fazit
Sichere Software- und Systementwicklung ist eine echte Herausforderung, die Organisationen sehr schnell überfordert. Mangelnde Ressourcen führen häufig dazu, dass die geschilderten Vorgaben vernachlässigt oder ganz ignoriert werden. So erfolgen doch schnell einmal Änderungen in der Produktivumgebung durch jemand, der es gut meint und glaubt, zu wissen was er tut. Oder aber die Entwicklung wird ebenfalls aus Zeit- und Kostengründen gleich nur von einer Person erledigt, nicht aber von jemand anders kontrolliert. Dass es in Fällen wie diesen Beispielen meist auch an der Dokumentation mangelt, liegt auf der Hand.
Die Ursachen für Fehler und Mängel sind sehr vielfältig. Die Auswirkungen möglicherweise extrem.
Organisationen sind daher gut beraten, der Sicherheit bei der Entwicklung von Software und Systemen allerhöchste Bedeutung zuzumessen und beim geringsten Zweifel professionelle Beratung in Anspruch zu nehmen. Die Risiken – auch in die Haftung genommen zu werden – verwirklichen sich leider sehr schnell.