Fast täglich werden Datendiebstähle gemeldet. Der Eindruck entsteht, dass Software, gerade in der Cloud, von sich aus unsicher und voller Einfallstore für Angreifer sei. Dieser Entwicklung wollen Standardisierungsgremien wie die ISO und das IEC einen Riegel vorschieben. Ende 2012 verabschiedeten sie mit dem ISO-Standard 27034-1 den ersten Teil von sechs Empfehlungen für Sicherheit in der Software-Entwicklung. Was taugt der neue Standard?
Der Standard 27034 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) erweitert die Reihe der bereits weitverbreiteten und an Lehrinstituten gelehrten Standards, die für Sicherheit in der Datenverarbeitung sorgen sollen. ISO 27001 listet die Anforderungen für Management-Systeme für Informationssicherheit auf, 27002 formuliert einen Verhaltenscodex für das Management von Informationssicherheit (Code of practice) und 27005 hat das Risiko-Management für Informationssicherheit zum Thema. Die ISO hat das Thema also keineswegs verschlafen, und Gesetzgeber in der ganzen Welt berufen sich mittlerweile auf diese Standards.
Wozu also noch einen?
Mit ISO 27034 formuliert das Subcommittee 27 der ISO einen sechsteiligen Katalog von Empfehlungen (nicht Vorschriften) mit dem Titel „Information technology – Security techniques – Application security“. Der erste und bislang einzige Teil wurde im November 2011 offiziell veröffentlicht. Er liefert einen Überblick über Konzepte für Anwendungssicherheit, aber auch das Rahmenwerk und die Prozesse, die nötig sind, um ein Programm umzusetzen, das umfassende Anwendungssicherheit (in der Entwicklung usw.) umsetzen soll.
Bemerkenswert ist der Standard insofern, als er in seinen Definitionen, was denn nun Informationssicherheit und was Anwendungssicherheit seien, eine holistische Sichtweise an den Tag legt. Das heißt, dass nicht nur die Software-Entwicklung betrachtet wird, sondern auch die wirtschaftlichen und rechtlichen Zusammenhänge sowie äußere Faktoren berücksichtigt werden. So mag ein Software-Modul zwar frei von Codefehlern sein (ein seltener Fall), die Schwachstellen darstellen, könnte aber durch seine Unkenntnis, welche Datenbanken für seine wirtschaftliche Bedeutung wichtig sind, vertrauliche Informationen offenlegen. Sicherheit ist also immer als etwas Ganzes zu verstehen, dass von ALLEN seinen Teilen unterstützt werden muss.
Bug, Exploit, Geschäftsrisiko
Des weiteren formuliert der Standard, was unter „Risiken“ zu verstehen ist – eine nicht selbstverständliche Sache – und wie sich daraus Risikoeinschätzungen ergeben: Was ist nur ein Bug, was schon ein Exploit und was ein Geschäftsrisiko? Auf dieser wesentlichen Grundlage melden die Security Management Systeme der IT, was eine gefährliche Schwachstelle (inklusive der Anwendungssicherheit) ist und was nicht.
Definitionen sind ja gut und schön, doch sie liefern lediglich eine gemeinsame Sprache, in der sich IT-ler, Facharbeiter und Kunden miteinander über die gleiche Sache unterhalten können. Was noch für die Praxis fehlt, sind die zwei Rahmenwerke, die die ISO 27034-1 einführt.
Original-Website erfahren Sie mehr