Sicherheitskonzepte für die Programmierung

Zusammenarbeit mit externen Entwicklern

Wenn man Anwendungen von externen Entwicklern erstellen lässt, muss man mit diesen das Sicherheitskonzept genau abstimmen. Wichtig ist, dass man einerseits die oben genannten Grundregeln vorgibt und andererseits die erforderlichen Rollen für eine Anwendung gemeinsam festlegt, um einerseits mit ausreichend differenzierten Zugriffsberechtigungen arbeiten zu können, andererseits aber auch eine überschaubare Zahl von zu konfigurierenden Rollen zu haben. Letztlich geht es auch hier darum, einen
vernünftigen Kompromiss zwischen dem Wunsch nach einer differenzierten Sicherheitsadministration und einem überschaubaren Aufwand zu finden.

Klare Vorgaben für den externen Entwick sind für die Umsetzung sicherer Anwendungen auf jeden Fall wichtig. Die Grundregeln wie beispielsweise die konsequente Nutzung von Rollen gehören auch ins Pflichtenheft. Sonst hat man, vor allem bei der Zusammenarbeit mit unterschiedlichen Entwicklern, nach einiger Zeit etliche Anwendungen mit unterschiedlichen Sicherheitsmodellen, die nicht miteinander harmonieren.

Konkrete Umsetzung bei der Administration

Die Umsetzung der Sicherheitsmodelle erfolgt auf mehreren Ebenen. Wie oben bereits erwähnt, müssen Administratoren einerseits Gruppenkonzepte definieren, um für die wichtigsten Anforderungen mit standardisierten Gruppen arbeiten zu können. Wenn man ein gut definiertes Gruppenmodell hat, das sowohl aufbau- als auch ablauforganisatorische Aspekte einbezieht, wird man nur noch selten für Anwendungen zusätzliche Gruppen definieren müssen. Spezifische administrative Aufgaben auf Anwendungsebene übernehmen in solchen Fällen entweder Vorgesetzte oder IT-Verantwortliche in den Fachbereichen, die man generell definieren kann.

Außerdem müssen die Administratoren die ACLs korrekt setzen, also das Zugriffsniveau, spezielle Berechtigungen und die Rollenzuordnung vornehmen.