Schäden vermeiden

Web-Anwendungen sicher entwickeln

13.07.2009
Von Wolfgang Aigner
Sicherheit in Web-Applikationen lässt sich nicht nachträglich erzielen, sondern muss Teil des Entwicklungsprozesses sein.

Geschäftsprozesse überschreiten immer häufiger Firmengrenzen und erlauben den direkten Zugriff Dritter auf Unternehmensdaten. Der Verlust an Integrität, Vertraulichkeit und Verfügbarkeit kann - je nach Prozess - großen Schaden anrichten. Die Datenverarbeitung erfolgt durch Anwendungen, die eine geforderte Geschäftslogik abbilden und - vor allem im Fall von Web-Applikationen - Schnittstellen für den Benutzer bereitstellen. Sichere Anwendungen werden für Geschäftsprozesse daher immer wichtiger. Dabei gilt es, Applikationssicherheit stets ganzheitlich zu betrachten - sowohl auf den verschiedenen technischen Ebenen als auch im Hinblick auf den Entwicklungsprozess.

Im Folgenden wird der Entwicklungsprozess einer Anwendung mit den relevanten Sicherheitsaspekten beschrieben, da er alle technischen und organisatorischen Ebenen umfasst. Der Hauptfokus liegt jedoch auf den Sicherheitsprinzipien beim Design und bei der Programmierung einer Web-Applikation.

Sicherheit im Entwicklungsprozess

Unabhängig davon, welches Entwicklungsmodell ein Unternehmen favorisiert (etwa das V-Modell oder agiles Programmieren) - stets werden die Phasen "Anforderungsanalyse", "Architektur und Design", "Implementierung", "Test", "Integration in Produktion" durchlaufen. In allen Schritten sind Sicherheitsaspekte zu berücksichtigen, die hier als ein erster Überblick über die Materie skizziert werden. Als Beispielanwendung dient ein einfacher Webshop, der unter anderem Funktionen wie das Speichern von Kontodaten beziehungsweise Kreditkarteninformationen für registrierte Benutzer bereitstellt.