12 wichtige Best Practices für die Anwendungssicherheit

1. Die Anforderungen verstehen

Bei der Entwicklung oder Einführung einer Anwendung sollten Sie die Applikation, ihre Funktionen, ihren Anwendungsbereich, die Zugriffsberechtigten und andere Kriterien definieren, die von den Geschäftsbereichen festgelegt werden, die sie nutzen. Dieser Schritt umfasst die Identifizierung aller Ressourcen – beispielsweise Systeme, Netzwerke und Cloud-Dienste –, die die Anwendung nutzen werden, sowie ihrer Abhängigkeiten. In diesem Schritt ist es wichtig, eine Softwarestückliste (SBOM) zu erstellen.

2. Sicherstellung der Genehmigung durch die Führungsebene und der Finanzmittel

Stellen Sie sicher, dass die Führungskräfte, insbesondere innerhalb der IT-Abteilung und des Geschäftsbereichs, die vorgeschlagene Anwendung geprüft haben und die Arbeit sowie die erforderlichen Finanzmittel genehmigen.

3. Den Shift-Left-Ansatz für die Absicherung jedes Entwicklungsschrittes anwenden

Die Verlagerung der Sicherheit nach ganz links im Softwareentwicklungszyklus (SDLC) bezieht sich auf die frühzeitige Integration von Sicherheitsmaßnahmen in den Entwicklungsprozess. Dies, anstatt diese erst während des Testens oder nach der Bereitstellung zu berücksichtigen. Dieser proaktive Ansatz ist entscheidend für die Minderung von Bedrohungen und die Gewährleistung sicherer Codierungspraktiken und führt gleichzeitig zu einer schnelleren Bereitstellung hochwertiger Software.

4. Eine mehrschichtige Sicherheitsstrategie entwickeln (Defense in Depth)

Stellen Sie sicher, dass die gesamte Anwendungssicherheitsstrategie darauf ausgelegt ist, eine Vielzahl von Ereignissen mithilfe eines mehrschichtigen Ansatzes (Defense in Depth) zu bewältigen und zu mindern. Dies umfasst eine Reihe von Security-Tools. Durch das Hinzufügen weiterer Schutzebenen wird die Sicherheit verbessert, da Angreifer mehrere Verteidigungsmechanismen überwinden müssten, um an die Anwendung zu gelangen.

5. Risiko-, Bedrohungs- und Schwachstellenanalysen durchführen

Diese Aktivitäten identifizieren Probleme und Situationen, die die Sicherheit der Anwendung beeinträchtigen könnten. Führen Sie die Analyse vor der Programmierung oder vor der Einführung einer Standardanwendung in produktiven Umgebungen durch. Zu den Ergebnissen gehören die Identifizierung potenzieller Sicherheitsvorfälle und ihrer schlimmsten möglichen Folgen sowie einzelner Fehlerquellen.

Planen Sie regelmäßige Risikoanalysen, um sicherzustellen, dass die Sicherheitsmaßnahmen weiterhin den entsprechenden Risiken, Bedrohungen und Schwachstellen gerecht werden.

6. Sicherheitskontrollen identifizieren und implementieren

Berücksichtigen Sie die folgenden Kontrollen bei der Entwicklung und laufenden Verwaltung der Applikation. Überprüfen Sie diese kontinuierlich in jeder Phase des SDLC, einschließlich regelmäßig nach der Bereitstellung in der produktiven Umgebung:

• Zugriffskontrollen. Verhindern Sie unbefugten Zugriff auf die Anwendung und ihre Daten. Implementieren Sie einen Zero-Trust-Netzwerkzugriff, bei dem davon ausgegangen wird, dass alle Zugriffsversuche risikobehaftet sind und erst nach einer ausreichenden Überprüfung als vertrauenswürdig eingestuft werden sollten.
• Authentifizierungskontrollen. Überprüfen Sie, ob die Personen, die Zugriff beantragen, auch wirklich die sind, für die sie sich ausgeben. Implementieren Sie Multifaktor-Authentifizierung (MFA).
• Autorisierungskontrollen. Stellen Sie sicher, dass die Personen, die Zugriff auf eine App beantragen, für diesen Zugriff zugelassen sind. Verwenden Sie rollenbasierte Zugriffskontrollen (RBAC), die den Zugriff auf Apps mit der Position und den Aufgaben einer Person verknüpfen. Beherzigen Sie das Prinzip der geringsten Privilegien (POLP), das Benutzern nur Zugriff auf die Ressourcen gewährt, die sie für ihre Arbeit benötigen – und nichts anderes.
• Korrekturmaßnahmen. Beheben und mindern Sie Sicherheitsprobleme. Zu den Maßnahmen können das Herunterfahren einer Anwendung, die im Verdacht steht, eine Sicherheitslücke zu ermöglichen, oder die Installation eines Sicherheitspatches gehören.
• Kontrollen zur Erkennung. Sobald eine Applikation in Betrieb genommen wurde, identifizieren Sie Sicherheitsvorfälle mithilfe von Technologien wie Firewalls, Intrusion Detection Systemen (IDS) und Anwendungsscan-Tools.
• Verschlüsselung. Aktivieren Sie diese auf Netzwerk- und Anwendungsebene. Verschlüsseln Sie eingehende und ausgehende Daten sowie Daten während der Übertragung und im Ruhezustand, um unbefugten Zugriff zu verhindern.
• Protokollierung. Verfolgen Sie Aktivitäten nach Anwendung. Dies hilft dabei, verdächtigen Datenverkehr und verdächtiges Verhalten zu identifizieren und liefert gleichzeitig wichtige Kennzahlen zur Messung der Anwendungsleistung.
• Präventive Kontrollen. Integrieren Sie diese in die Anwendung, damit sie bei der Inbetriebnahme der App bereits vorhanden sind. Diese Kontrollen sollen unbefugte Zugriffsversuche auf die Applikation und ihre Daten blockieren. Zu den Technologien gehören Firewalls und Intrusion Prevention Systeme (IPS).
• Sicherheitstests. Identifizieren Sie Schwachstellen und Sicherheitslücken in der App. Diese grundlegenden Funktionen sind besonders während der Entwicklungs- und Testphase wichtig.

Erfahren Sie mehr über die wichtigsten Arten von Anwendungssicherheitstests.

7. Sichere Codierungsmethoden verwenden

Wenden Sie bei der Programmierung einer neuen Anwendung oder bei der Suche nach Möglichkeiten zur Modifizierung eines bestehenden oder handelsüblichen Produkts Branchenstandards, Leitfäden und Checklisten an, um sichere Programmiermethoden und Sicherheitspraktiken zu gewährleisten. Beachten Sie beispielsweise die Best Practices zur Software-Entwicklung vom BSI und den OWASP Web Security Testing Guide (OWASP-Leitfaden für Web-Sicherheitstests).

8. API-Sicherheit

APIs sind allgegenwärtige Elemente in der Anwendungsprogrammierung – und beliebte Ziele für Angreifer. APIs enthalten in der Regel wichtige Attribute einer Anwendung, wie beispielsweise Programmierlogik und Sicherheitsanmeldedaten. Stellen Sie sicher, dass Ihre App-Strategie API-Sicherheitsbedrohungen berücksichtigt.

9. Leistungsstarke Protokollierung und Überwachung einsetzen.

Schützen Sie Datenprotokolle vor unbefugtem Zugriff. Eine strenge Überwachung hilft Sicherheitsteams dabei, verdächtigen Datenverkehr und potenzielle Schwachstellen zu identifizieren und die Ereignisanalyse und -minderung zu optimieren.

10. Einen Plan für die Reaktion auf Vorfälle erstellen

Pläne für die Reaktion auf Vorfälle (Incident Response Plan) tragen dazu bei, eine schnelle und koordinierte Reaktion auf verdächtigen Datenverkehr oder andere Sicherheitsvorfälle zu gewährleisten. Erstellen Sie einen Plan, der flexibel genug ist, um auf eine Vielzahl von Sicherheitsbedrohungen reagieren zu können, und legen Sie die Rollen und Verantwortlichkeiten des Teams für die Reaktion auf Vorfälle fest. Planen Sie Übungen zur Reaktion auf Vorfälle, um sicherzustellen, dass das Team auf einen Vorfall vorbereitet ist.

11. Sicherheitsressourcen aktualisieren

Zu den bewährten Verfahren gehören die Aktualisierung der Firewall-Regeln, die Sicherstellung, dass die IDS/IPS-Software auf dem neuesten Stand ist, und die regelmäßige Aktualisierung der Sicherheitssoftware.

12. Einsatz von KI in Betracht ziehen

KI ist zu einem wichtigen Bestandteil der Unternehmenssicherheit geworden, einschließlich der Anwendungssicherheit. Viele Sicherheitsprodukte integrieren KI, um Funktionen bereitzustellen, die sonst möglicherweise nicht verfügbar wären.