10 Handlungsprinzipien für App-Entwickler und -Architekten

Schutz von Mitarbeiter und Unternehmen

Beachten Sie neben den Gefahren der Manipulation von Daten beziehungsweise dem Verlust selbiger auch die Sicherheit für Ihre Mitarbeiter beziehungsweise Sie als Unternehmer.

• Sorgen Sie für die Protokollierung von Arbeitsschritten und Informationsständen. Dieses Protokollieren beinhaltet dabei zum einen die an den Anwender übermittelte Daten als auch die von ihm getroffenen Interaktionen wie Lesen der Information. Die Vorhaltezeit der Daten können Sie nach dem Prinzip der Datenreduktion (nur so lange wie nötig) auf eine bestimmte Dauer rollierend einschränken.

• Gerade bei dienstlichen Tätigkeiten muss dafür Sorge getragen werden, dass ein Mitarbeiter zum Beispiel nur an abgeschalteten Maschinen arbeitet. Meldet die App einen falschen Zustand kann dies, in diesem Beispiel, für den Nutzer der App gesundheitliche Konsequenzen nach sich ziehen.
  Auch Aussagen zu "nicht erhaltenen Informationen" (Repudiation, also das Abstreiten von Aktionen) und daraus resultierenden "nicht Arbeiten" mit eventuell möglichen Konventionalstrafen können so vorgebeugt werden.

Sicherheit in den UI-Grundsätzen

Auch wenn Sie den Anwender in den Fokus Ihrer App heben (siehe Punkt 7), gibt es einige grundsätzliche Prinzipen um die Sicherheit einer App zu erhöhen. Verfolgen Sie hierzu das KISS Prinzip (Keep it simple and stupid). Dieses Prinzip beschreibt die Anforderung, Ihre UI und die dahinter liegende Architektur so einfach wie möglch zu gestalten. Komplexität führt oft zu einer Unübersichtlichkeit und damit zu Fehlern. Gerade in der späteren Wartung ist es wichtig zu wissen, was in welchem Architekturbaustein passiert.

Die gleiche Komplexitätsreduktion müssen Sie auch bei den möglichen Eintrittspunkten Ihrer Apps beziehungsweise Daten anwenden. Vor allem die Frage, inwiefern eine App mit Daten von außen versorgt (und gestartet) wird, ist hier zu betrachten. Dabei kann e sich zum Beispiel um Serverdienste in der App oder das Share/OpenIn-Sheet von anderen APPs handeln. Jeder Eintrittspunkt kann ein Risiko darstellen.
Validieren Sie die eingehenden Daten inklusive der jeweiligen Quellen auf Gültigkeit.

• Nutzen Sie das MVC Konzept (Modell-View-Controll).

• Verankern Sie die Modell/Controll Komponenten in Ihren Back-End-Systemen.

• Das Frontend (die App) sollte im idealfall nur eine Repräsentation der Daten beinhalten.

Diese Funktion kann natürlich noch erweitert werden um Validierungsprüfungen von Eingaben (Punkt 4) und Offlinefähigkeit (Punkt 3). Die eigentliche Verarbeitungslogik und Prozessintelligenz ist nicht in der App vorzuhalten. Stellen Sie immer die Notwendigkeitsfrage beim Umgang mit Daten und Informationen. Welche Daten und Informationen müssen "Wann" verfügbar sein?

Stetige Weiterbildung

Die hier aufgeführten Handlungsprinzipien müssen Sie stetig an neue Herausforderungen messen. Regelmäßige Prüfung des Status-Quo und die Erkenntnis von gelebten abzulassen und neue Verfahren aufzunehmen muss ebenso akzeptiert werden.

Schicken Sie Ihre verantwortlichen Mitarbeiter auf Weiterbildungen und Konferenzen. Nicht nur für die App-Entwicklung sondern auch zum Thema Cybersecurity. Verfolgen Sie ferner einschlägige Twitter Accounts und Webseiten um am "Puls der Zeit" zu sein.

Fazit

Entwickeln Sie Ihre Apps mit einem agilen Team und fester Teilnahme des jeweiligen Fachbereichs. Begleiten Sie die Menschen bei ihrer Arbeit und lassen Sie Feedbackschleifen durch Referenzgruppen zu. Mobile Apps entstehen in kürzester Zeit. Verfallen Sie bei der Entwicklung nicht in althergebrachte Muster wie Lastenheft, Wasserfall-Projekt, Ergebnisübergabe. Zusammen mit den Handlungsprinzipien sind Sie auf einem guten Weg. (bw)