Auch kleine und mittelständische Unternehmen (KMU) setzen in immer stärkerem Maße web-basierte Software-Applikationen ein, oft auch in unternehmenskritischen Anwendungsbereichen. Systemausfälle, Verlust personenbezogener Daten oder Verletzungen der Datenintegrität können damit schnell schwerwiegende Auswirkungen auf die Arbeitsfähigkeit des Unternehmens verursachen.
Zugleich finden wir in der Praxis in KMU oft kein oder nur ein rudimentär entwickeltes Informations- und IT-Sicherheitsmanagement vor. Für Dritte, die für solche Unternehmen Software-Applikationen entwickeln sollen, stellt sich so das Problem, dass weder eindeutige, aus Risiko- und Bedrohungsanalysen abgeleitete Security-Requirements für die geplante Software noch Aussagen zu dem gewünschten Sicherheitsniveau vorliegen. Die Anwendungen sollen aber trotzdem „selbstverständlich sicher“ sein.
In diesem Vortrag wird an Hand von Beispielen aus der Praxis dargestellt, wie es trotz schwieriger Randbedingungen auf Basis eines „Baukastenprinzips“ möglich sein kann, auch in diesen Fällen für Web-Applikationen eine Security-Baseline festzulegen, die zu einem zufriedenstellenden Sicherheitsniveau führt. Zwar handelt es sich bei einer solchen Vorgehensweise natürlich um eine Insellösungen für das Sicherheits-Management – es stellt aber erste Grundzüge eines Informations-Sicherheits-Managementsystem (ISMS) zur Verfügung und trägt zu einem verbesserten Sicherheitsniveau bei. Es zeigt sich, dass die Entwicklung von Web-Applikationen so auch eine große Chance für KMUs sein kann: als Katalysator für die Planung und Einführung eines ISMS auf Basis eines geeigneten Frameworks.
Dr. Ingo Hanke
Ingo Hanke stammt aus Stuttgart und hat von 1986 bis 1992 Physik an den Universitäten Tü-
bingen und Göttingen studiert. In seiner 1996 abgeschlossenen Promotion hat er sich anwen-
dungs- und materialwissenschaftlichen Fragestellungen zum Thema Silizium für Solarzellen gewidmet.
Er gründete 1996 die Firma IDEAS Information & Design Applications, die sich mit der Entwicklung von Individual-Software, hierbei insbesondere Web-Applikationen beschäftigt.
Schon seit Ende der 90er-Jahre rückten dabei immer mehr die Herausforderungen der Applikations-Sicherheit in den Fokus. Seit 2005 berät er Kunden auch zu den Fragen von Informationssicherheit – auf technischer, aber vor allem aber auch auf organisatorischer Ebene. Er ist seit 2005 aktives Mitglied beim Open Web Application Security Project (OWASP) und ist unter anderem Co-Autor der OWASP TOP10 und war Chair der Sicherheits-Konferenz German OWASP Day 2016.
Ingo Hanke ist Certified Information Security Manager (CISM) und Wandler zwischen den Welten der Software-Entwickler und der Informationssicherheits-Manager.
„Denn ohne Sicherheit ist keine Freiheit.“, Wilhelm von Humboldt, 1792
Oder etwas ausführlicher:
„Ohne Sicherheit vermag der Mensch weder seine Kräfte auszubilden noch die Frucht derselben zu genießen; denn ohne Sicherheit ist keine Freiheit.“ (aus: „Grenzen der Wirksamkeit des Staates“, Wilhelm von Humboldt, 1792)