Web-Applikationen sicher entwickeln

In fünf Schritten zur sicheren Web-Anwendung

1. Anforderungsanalyse

In der Anforderungsanalyse, auch Requirements Engineering genannt, sind nicht nur funktionale, sondern auch sicherheitsrelevante Anforderungen zu definieren. Letztere lassen sich mit Hilfe etwa von Threat Modelling sowie Risiko- und Abuse-Cases-Analyse sowie aus Firmenrichtlinien und gesetzlichen Vorgaben ermitteln. Das Ergebnis der Anforderungsanalyse muss im Hinblick auf Sicherheit bereits so belastbar sein, dass Architektur und Design der Anwendung in der Folgephase möglich werden.

Generischer Prozess bei der Entwicklung einer Anwendung: In jeder Phase sind Sicherheitsaspekte zu beachten. (Quelle: Secaron)
Generischer Prozess bei der Entwicklung einer Anwendung: In jeder Phase sind Sicherheitsaspekte zu beachten. (Quelle: Secaron)

Bei unserem Webshop werden zunächst die gesetzlichen Anforderungen ermittelt. Aufgrund der Speicherung beziehungsweise Verarbeitung personenbezogener Daten kommt das Bundesdatenschutzgesetz (BDSG) zum Tragen. Da Kreditkarteninformationen gespeichert werden, muss die Anwendung zudem PCI-Compliance erreichen.

Ferner gilt es zu berücksichtigen, dass es sich bei dem eingesetzten Server um einen Multiprojekt-Server handelt, sprich: die Kompromittierung einer Anwendung kann auch andere Applikationen betreffen. Aus der Risikoanalyse ergibt sich außerdem ein hoher Schutzbedarf für die personenbezogenen Daten - vor allem für Kontoinformationen. Der größtmögliche Schaden ist hier ein Imageverlust für den Fall, dass Schwachstellen des Webshops bekannt werden.