Suchen

Cloud-Anwendungen Sichere Software-Entwicklung mit ISO 27034-1

| Autor / Redakteur: Michael Matzer / Florian Karlstetter

Standardisierungsgremien wie die ISO und das IEC wollen unsicheren Anwendungen einen Riegel vorschieben. Um sichere Software-Entwicklung zu forcieren, verabschiedeten sie Ende 2012 den ISO-Standard 27034-1. Doch was taugt die Norm?

Firmen zum Thema

Rahmenwerk für ISO 27034-1: Der Zusammenhang zwischen einem ONF (Organizational Normative Framework) und seiner appliaktionsspezifischen Ableitung ANF, dem Application Normative Framework.
Rahmenwerk für ISO 27034-1: Der Zusammenhang zwischen einem ONF (Organizational Normative Framework) und seiner appliaktionsspezifischen Ableitung ANF, dem Application Normative Framework.
(© Reavis Consulting Group)

Der Standard 27034 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) erweitert die Reihe der bereits weitverbreiteten und an Lehrinstituten gelehrten Standards, die für Sicherheit in der Datenverarbeitung sorgen sollen. ISO 27001 listet die Anforderungen für Management-Systeme für Informationssicherheit auf, 27002 formuliert einen Verhaltenscodex für das Management von Informationssicherheit (Code of practice) und 27005 hat das Risiko-Management für Informationssicherheit zum Thema. Die ISO hat das Thema also keineswegs verschlafen, und Gesetzgeber in der ganzen Welt berufen sich mittlerweile auf diese Standards.

Wozu also noch einen?

Mit ISO 27034 formuliert das Subcommittee 27 der ISO einen sechsteiligen Katalog von Empfehlungen (nicht Vorschriften) mit dem Titel "Information technology - Security techniques - Application security". Der erste und bislang einzige Teil wurde im November 2011 offiziell veröffentlicht. Er liefert einen Überblick über Konzepte für Anwendungssicherheit, aber auch das Rahmenwerk und die Prozesse, die nötig sind, um ein Programm umzusetzen, das umfassende Anwendungssicherheit (in der Entwicklung usw.) umsetzen soll.

Bemerkenswert ist der Standard insofern, als er in seinen Definitionen, was denn nun Informationssicherheit und was Anwendungssicherheit seien, eine holistische Sichtweise an den Tag legt. Das heißt, dass nicht nur die Software-Entwicklung betrachtet wird, sondern auch die wirtschaftlichen und rechtlichen Zusammenhänge sowie äußere Faktoren berücksichtigt werden. So mag ein Software-Modul zwar frei von Codefehlern sein (ein seltener Fall), die Schwachstellen darstellen, könnte aber durch seine Unkenntnis, welche Datenbanken für seine wirtschaftliche Bedeutung wichtig sind, vertrauliche Informationen offenlegen. Sicherheit ist also immer als etwas Ganzes zu verstehen, dass von ALLEN seinen Teilen unterstützt werden muss.

Bug, Exploit, Geschäftsrisiko

Des weiteren formuliert der Standard, was unter "Risiken" zu verstehen ist - eine nicht selbstverständliche Sache - und wie sich daraus Risikoeinschätzungen ergeben: Was ist nur ein Bug, was schon ein Exploit und was ein Geschäftsrisiko? Auf dieser wesentlichen Grundlage melden die Security Management Systeme der IT, was eine gefährliche Schwachstelle (inklusive der Anwendungssicherheit) ist und was nicht.

Bildergalerie

Definitionen sind ja gut und schön, doch sie liefern lediglich eine gemeinsame Sprache, in der sich IT-ler, Facharbeiter und Kunden miteinander über die gleiche Sache unterhalten können. Was noch für die Praxis fehlt, sind die zwei Rahmenwerke, die die ISO 27034-1 einführt.

1) Organizational Normative Framework (ONF)

Das ONF umfasst sogenannte "Container" für alle Komponenten von Best Practices hinsichtlich Anwendungssicherheit, die von einer Organisation bzw. einem Unternehmen katalogisiert und genutzt werden. Dazu gehören der geschäftliche, der rechtliche und der technische Kontext mit allen Spezifikationen, Rollen und Prozessen. Wer darf sich beispielsweise überhaupt mit dem Thema Anwendungssicherheit befassen? Wohl kaum die Putzkolonne, sondern vielmehr qualifiziertes und streng überwachtes Personal, das weiß, was es tut.

Eine Application Security Control (ASC) Library dient als Repository für die grundlegenden Spezifikationen der ONF-Container. Das Mapping eines Anwendungssicherheits-Lifecycle- Referenzmodells auf die Lifecycle-Modelle eines Unternehmens ist im Framework enthalten. Das erleichtert seine Einbindung in die IT-Architektur des Unternehmens.

2) Application Normative Framework (ANF)

Das ANF kann man sich als Ableitung des ONF für eine spezifische Anwendung vorstellen. Wenn also eine Anwendung, die wesentlich für die Verarbeitung und Weitergabe vertraulicher, weil personenbezogener Daten ist, sicher sein soll, dann ist das ANF anzuwenden, um die nötige Sicherheitsfreigabe zu erreichen. Weil eine Organisation in der Regel nicht nur eine Anwendung betreibt, liegt meist eine Eins-zu-vielen-Beziehung zwischen dem ONF und den ANF-Implementierungen vor.

Jede ANF muss verwaltet werden. Dazu dient der vordefinierte Application Security Management Process (ASMP). Er umfasst fünf Schritte oder Phasen:

  • 1. Das Festlegen der Anforderungen an eine Anwendung und ihre Umgebung;
  • 2. das Einschätzen der Sicherheitsrisiken für eine Anwendung;
  • 3. das Erstellen und Pflegen des entsprechenden ANF;
  • 4. das Provisionieren und Betreiben der Anwendung;
  • 5. das Auditieren der Sicherheit einer Anwendung.

Mit Hilfe eines ONF-Management-Prozesses lässt sich das Rahmenwerk selbst laufend iterativ verbessern. Diese Verbesserungen werden automatisch an die ANFs vererbt. Aber auch Verbesserungen, die auf ANF-Ebene erzielt werden, können an das Mutter-ONF geliefert werden.

Um die allgemeine Anwendbarkeit des Standards 27034-1 sicherzustellen, vermeidet die ISO jede Vorschrift oder Empfehlung, was den Einsatz bestimmter Technologien, bestimmte Sicherheitskontrollen im Entwicklungszyklus oder die Anwendung auf bestimmte Wirtschaftszweige anbelangt. Weil es sich also um einen universellen und unabhängigen Standard handelt, kann jeder IT-Experte mit der ISO 27034 sowohl die Qualität als auch die Vollständigkeit seines eigenen Anwendungssicherheitsprogramm beurteilen.

Andersherum wird jedoch der ISO 27034-1-Standard zum Maßstab für die Bewertung und Zertifizierung aller Softwareentwicklungszyklen, die wenigstens die ISO 27011-Norm erfüllen wollen bzw. sollen. ISO 27023-1 umfasst nämlich bereits die Umsetzungsvorschriften des ISO 27002 und kann daher für ganz hemdsärmelige, handlungsorientierte Verfahren zur Qualitätssicherung eingesetzt werden.

Die Rolle Microsofts

Wie sich herumgesprochen haben dürfte, startete Bill Gates 2002 mit einem internen Memorandum Microsofts Initiative "Trustworthy Computing". Es dauerte bis 2007, bis die Richtlinien für einen Secure Development Lifecycle (SDL) veröffentlicht werden konnten, so dass Partner in der Lage waren, sie zu übernehmen und anzuwenden. ((Bild 4)) Daher verwundert es wenig, wenn dieser SDL heute im Anhang 1 des ISO 27034-1 als erstes Beispiel für die Anwendung des Standards genannt wird. Tatsächlich hat sich Microsoft am 13. Mai 2013 als konform mit dem ISO 27034-1 erklärt, um, wie Microsofts Partner Director Steve Lipner sagte, "ein Beispiel zu geben". Ein Mapping des Microsoft-SDL auf das ONF des ISO 27034-1 weist zahlreiche Parallelen auf.

Die Bedeutung des Standards

Sowohl Softwarehersteller als auch Kunden profitieren vom neuen Standard. Sie sprechen nun die gleiche Sprache, verfügen über die gleichen Qualitätskriterien und die gleichen Handlungsempfehlungen. Kunden sehen sich endlich in der glücklichen Position, die Sicherheitsniveaus der ihnen angebotenen Produkte vergleichen und bewerten zu können, BEVOR sie sie einführen. Und wenn ein Hersteller keine Zertifizierung nach ISO 27034-1 vorweisen kann, ist er sofort im Nachteil.

Da beratende Gremien wie SAFEcode, die Cloud Security Alliance (CSA) sowie die Vorschriften des PCI/DSS (Payment Card Industry/Data Security Standard) den neuen Standard unterstützen und teils übernehmen, ist es nur eine Frage der Zeit, bis sich ISO 27034-1 als branchenweite Mindestanforderung für Informations- und Anwendungssicherheit durchsetzt. Jeder Sicherheitsvorfall, der sich ereignet, erhöht den Druck auf die Betroffenen (d.h. ein Unternehmen und seine Softwarelieferanten), sich konform zum ISO 27034-1 aufzustellen.

(ID:44368401)

Über den Autor