IT-SICHERHEIT: SOFTWAREENTWICKLUNG IM FOKUS
4. Dezember 2024
Security by Design wird 2025 zum Schlüssel: Neue Gesetze wie NIS-2 fordern sichere IT von Anfang an. Unternehmen stehen vor großen Herausforderungen.
IT-SICHERHEIT IN DER SOFTWAREENTWICKLUNG
Der aktuelle Lagebericht des Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt eine alarmierende Entwicklung: Cyberangriffe werden nicht nur zahlreicher, sondern auch gezielter. Besonders Unternehmen mit komplexen Softwarelandschaften stehen vor der Herausforderung, ihre Systeme widerstandsfähiger zu machen.
Zusätzlich verstärken gesetzliche Anforderungen wie die NIS-2-Richtlinie und das IT-Sicherheitsgesetz 2.0 den Druck, Sicherheitsstandards zu implementieren und nachzuweisen.
Doch welche konkreten Maßnahmen können Unternehmen ergreifen, um ihre Software sicherer zu gestalten?
Security by Design
Sicherheitsaspekte sollten von Anfang an in den Entwicklungsprozess integriert werden. Dies bedeutet, dass potenzielle Risiken schon in der Planungsphase identifiziert und durch entsprechende Architekturentscheidungen minimiert werden.
Code-Reviews und automatisierte Tests
Regelmäßige Code-Reviews durch das Team sowie der Einsatz von automatisierten Sicherheitstests (z. B. Static Application Security Testing, SAST) helfen, Schwachstellen wie unsichere Speicherzugriffe oder fehlerhafte Berechtigungsprüfungen frühzeitig zu erkennen.
Sichere API-Entwicklung
APIs sollten durch Authentifizierungsmethoden wie OAuth 2.0 und Token-basierte Zugriffskontrollen geschützt werden. Rate-Limiting kann zudem verhindern, dass APIs durch bösartige Anfragen überlastet werden.
Datenbanken absichern
Der Zugriff auf Datenbanken sollte durch rollenbasierte Berechtigungen geregelt werden und durch Firewalls wird nur berechtigten Applikationen Zugriff gewährt. Außerdem ist ein striktes Patch-Management für Datenbankserver erforderlich, um bekannte Schwachstellen zu schließen.
Sichere App-Entwicklung
Mobile Apps sollten durch Sicherheitsmechanismen wie verschlüsselte Datenübertragung (TLS) und lokal verschlüsselte Datenspeicherung abgesichert werden. Darüber hinaus ist es wichtig, Sicherheits-Checks in App Stores zu berücksichtigen und keine sensiblen Daten im App-Code oder in Konfigurationsdateien zu hinterlegen.
Zero-Trust-Modelle für Software-Infrastruktur
Die Software sollte so gestaltet sein, dass Zugriffe auch innerhalb der internen Infrastruktur authentifiziert und autorisiert werden müssen. Dies schützt gegen Angriffe, die durch kompromittierte Systeme oder Insider-Bedrohungen entstehen können.
ZERO-TRUST-MODELLE IM DETAIL
Auf einen Aspekt von Software-Resilienz gehen wir jetzt nochmal detaillierter ein: Zero-Trust basiert auf dem Prinzip, niemandem zu vertrauen – weder innerhalb noch außerhalb des Netzwerks. Es geht darum, jeden Zugriff zu authentifizieren, autorisieren und kontinuierlich zu überprüfen, unabhängig davon, ob der Zugriff aus dem internen Netzwerk oder von extern erfolgt.
Dieses Konzept löst das traditionelle „Castle-and-Moat“-Modell ab, bei dem alles innerhalb des Netzwerks als vertrauenswürdig galt. Zero-Trust geht davon aus, dass Bedrohungen jederzeit auftreten können, und minimiert die Angriffsfläche durch strenge Sicherheitsmechanismen.
Authentifizierung
Jeder HTTP-Request muss seine Identität nachweisen, z. B. durch API-Schlüssel, OAuth-Token oder mutual TLS (mTLS). Dies verhindert, dass unautorisierte Anfragen überhaupt bearbeitet werden.
Autorisierung
Nach der Authentifizierung wird geprüft, ob der Absender des Requests auch die notwendigen Rechte für die angeforderte Aktion oder Ressource hat. Diese strikte Rollen- und Berechtigungsprüfung minimiert Missbrauchsmöglichkeiten.
Least Privilege-Prinzip
Jeder Zugriff sollte auf die minimal notwendigen Berechtigungen beschränkt sein. So kann beispielsweise ein Dienst, der nur Leserechte benötigt, keine Schreib- oder Löschaktionen ausführen.
Überwachung und Protokollierung
Alle HTTP-Requests und deren Antworten werden kontinuierlich aufgezeichnet und analysiert. Auffällige oder ungewöhnliche Muster können so frühzeitig erkannt und abgewehrt werden, bevor Schaden entsteht.
AGENTUR FÜR APP-ENTWICKLUNG
„Security by Design: Für Produkte wird erstmals gesetzlich vorgeschrieben, Sicherheitsaspekte direkt in die Entwicklungsphase zu integrieren.“, heißt es im BSI Lagebericht 2024. Eine Prämisse, die bei devsuit seit Jahren zum guten Ton gehört: Im Anforderungsmanagement und der Produktplanung, der Softwarearchitektur und dem Monitoring.
Aber keine Sorge, die dafür relevanten Fragen müssen Sie nicht alle kennen. Wir unterstützen Sie dabei, Ihre Wunsch-App zu bauen, die nicht nur innovativ, sondern auch sicher ist.
Interessiert?
Vereinbaren Sie gleich einen unverbindlichen Termin!
René Krause
[email protected]WEITERE BEITRÄGE
30. September 2024
devsuit entwickelt Energiedaten-Dashboard für den VIK
Für den Verband der Industriellen Energie- und Kraftwirtschaft (VIK) entwickelt devsuit ein interaktives Dashboard zur Visualisierung von Preisen auf den Energiemärkten. Für mehr Transparenz und schnellere Information.
15. Dezember 2023
Digitales Premium-Camping: Mobile App für die Prima Resorts
devsuit berät die Neuruppiner Prima-Gruppe bei der Umsetzung ihrer Digital-Strategie für die Ferienanlagen "Prima Resorts" und entwickelt die mobile App für iOS und Android.
