Security by Design leitet einen Paradigmenwechsel in der Software-Entwicklung ein. Mit ISO 27001 und der Sub-Norm für Applikationssicherheit ISO 27034 stehen der oft geforderte Leitfaden für sicheres Software-Design seit längerem zur Verfügung. [...]
Medienberichte ließen vor kurzem mit Sicherheitslücken in weit verbreiteten Applikationen wie Internet-Explorer und Adobe-Flashplayer aufhorchen. Software-Schwachstellen führen auch die aktuelle Bedrohungsskala der European Information Security Agency ENISA an. Eine Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) bestätigt eindrucksvoll: Seit 2011 hat sich die Zahl der gemeldeten Software-Sicherheitslücken nach einem vorherigen Rückgang wieder stark erhöht. Ende 2014 waren es weltweit rund 6.900. Sicherheitslücken höchsten Schweregrads wurden laut Studie zwar reduziert. Das HPI schlägt aber Alarm, dass mittelschwere und nicht minder gefährliche Vulnerabilities Ende 2014 einen Höchststand erreichten. Die Folgen dieser Schwachstellen zeigten sich zu jeweils 12 bis 14 Prozent in Problemen bei der Verfügbarkeit, Integrität oder Vertraulichkeit verwalteter Daten.
Hier schließt sich der Kreis zu dem aktuellen Ruf gewichtiger Stimmen in Europa nach einem Paradigmenwechsel in der Software-Entwicklung – kurz: Security by Design. So fordert der Entwurf der Europäischen Datenschutzrichtlinie, dass technische wie auch organisatorische Sicherheitsmaß-nahmen den gesamten Systemlebenszyklus abdecken: von der Analyse und Design über den Betrieb bis zur Entsorgung. Während Applikationssicherheit lange Zeit vorwiegend durch technische Maßnahmen wie Kryptografie und Authentifizierung adressiert wurde, fordert nun auch die ENISA in ihrer Veröffentlichung „Privacy and Data Protection by Design“ einen interdisziplinären Ansatz, angemessenes Sicherheitsverständnis, die Einhaltung von Standards und härtere Rechtsbestimmungen.
In der novellierten Version der Norm für Informationssicherheit, ISO 27001:2013, spiegelt sich dieser Paradigmenwechsel in der Software-Entwicklung bereits wider. Der Thematik ist nun ein ganzes Kapitel gewidmet. Ebenso gibt es mit der dazugehörigen ISO 27034 eine eigene Sub-Norm für Applikationssicherheit. Der vielfach geforderte Standard für Security by Design ist also de facto längst verfügbar und höchst praktikabel.
Die ISO 27034 gibt detallierte Empfehlungen für eine Integration der Informationssicherheit über den gesamten System-Lebenszyklus – mit fünf Kernaspekten: Definition der Anforderungen unter Berücksichtigung von Stakeholder-Interessen, Wirtschaftlichkeit und Compliance. Es folgt die Durchführung einer Risikoanalyse für den gesamten Lebenszyklus über alle Architekturebenen. Daraus resultiert die Umsetzung entsprechender Maßnahmen, von Secure Coding bis zum geschützten Umgang mit Testdaten. Der sichere Betrieb ist mittels Audits und Incident-Analysen laufend zu optimieren. Der Zyklus schließt mit der sicheren Archivierung und Vernichtung der Daten und Software. Soweit die Theorie – nun sollte die Praxis folgen.
SECURITY-SYMPOSIUM
Event-Tipp: Zum Thema Informationssicherheit nach ISO 27001 findet am 20.05.2015 das 11. Information-Security-Symposium der Zertifizierungsorganisationen CIS und Quality Austria statt. Auf dem Programm stehen Notfallplanung bei REWE, E-Personalakt oder Cybercrime-Ermittlungen des BMI. Anmeldung unter der Adresse: www.cis-cert.com/Symposium.
* Die Autorin Margareth Stoll ist IT-Sicherheitsverantwortliche, Beraterin sowie Auditorin der Zertifizierungsorganisation CIS.
Be the first to comment