:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Cloud-Anwendungen Sichere Software-Entwicklung mit ISO 27034-1
Standardisierungsgremien wie die ISO und das IEC wollen unsicheren Anwendungen einen Riegel vorschieben. Um sichere Software-Entwicklung zu forcieren, verabschiedeten sie Ende 2012 den ISO-Standard 27034-1. Doch was taugt die Norm?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Der Standard 27034 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) erweitert die Reihe der bereits weitverbreiteten und an Lehrinstituten gelehrten Standards, die für Sicherheit in der Datenverarbeitung sorgen sollen. ISO 27001 listet die Anforderungen für Management-Systeme für Informationssicherheit auf, 27002 formuliert einen Verhaltenscodex für das Management von Informationssicherheit (Code of practice) und 27005 hat das Risiko-Management für Informationssicherheit zum Thema. Die ISO hat das Thema also keineswegs verschlafen, und Gesetzgeber in der ganzen Welt berufen sich mittlerweile auf diese Standards.
Wozu also noch einen?
Mit ISO 27034 formuliert das Subcommittee 27 der ISO einen sechsteiligen Katalog von Empfehlungen (nicht Vorschriften) mit dem Titel "Information technology - Security techniques - Application security". Der erste und bislang einzige Teil wurde im November 2011 offiziell veröffentlicht. Er liefert einen Überblick über Konzepte für Anwendungssicherheit, aber auch das Rahmenwerk und die Prozesse, die nötig sind, um ein Programm umzusetzen, das umfassende Anwendungssicherheit (in der Entwicklung usw.) umsetzen soll.
Bemerkenswert ist der Standard insofern, als er in seinen Definitionen, was denn nun Informationssicherheit und was Anwendungssicherheit seien, eine holistische Sichtweise an den Tag legt. Das heißt, dass nicht nur die Software-Entwicklung betrachtet wird, sondern auch die wirtschaftlichen und rechtlichen Zusammenhänge sowie äußere Faktoren berücksichtigt werden. So mag ein Software-Modul zwar frei von Codefehlern sein (ein seltener Fall), die Schwachstellen darstellen, könnte aber durch seine Unkenntnis, welche Datenbanken für seine wirtschaftliche Bedeutung wichtig sind, vertrauliche Informationen offenlegen. Sicherheit ist also immer als etwas Ganzes zu verstehen, dass von ALLEN seinen Teilen unterstützt werden muss.
Bug, Exploit, Geschäftsrisiko
Des weiteren formuliert der Standard, was unter "Risiken" zu verstehen ist - eine nicht selbstverständliche Sache - und wie sich daraus Risikoeinschätzungen ergeben: Was ist nur ein Bug, was schon ein Exploit und was ein Geschäftsrisiko? Auf dieser wesentlichen Grundlage melden die Security Management Systeme der IT, was eine gefährliche Schwachstelle (inklusive der Anwendungssicherheit) ist und was nicht.
:quality(80)/images.vogel.de/vogelonline/bdb/1105800/1105885/original.jpg "Grundlegende Komponenten des Organizational Normative Framework des ISO 27034-1.")
:quality(80)/images.vogel.de/vogelonline/bdb/1105800/1105888/original.jpg "Der Zusammenhang zwischen einem ONF und seiner appliaktionsspezifischen Ableitung ANF, dem Application Normative Framework des ISO 27034-1.")
:quality(80)/images.vogel.de/vogelonline/bdb/1105800/1105890/original.jpg "Es gibt zahlreiche Parallelen zwischen Komponenten und Prinzipien des Secure Development Lifecycle von Microsoft und dem Organizational Normative Framework des ISO 27034-1 - kein Zufall.")
:quality(80)/images.vogel.de/vogelonline/bdb/1105800/1105889/original.jpg "Der Secure Development Lifecycle von Microsoft entwickelte ab 2002 viele Grundsätze für die Entwicklung sicherer Software.")
Definitionen sind ja gut und schön, doch sie liefern lediglich eine gemeinsame Sprache, in der sich IT-ler, Facharbeiter und Kunden miteinander über die gleiche Sache unterhalten können. Was noch für die Praxis fehlt, sind die zwei Rahmenwerke, die die ISO 27034-1 einführt.
1) Organizational Normative Framework (ONF)
Das ONF umfasst sogenannte "Container" für alle Komponenten von Best Practices hinsichtlich Anwendungssicherheit, die von einer Organisation bzw. einem Unternehmen katalogisiert und genutzt werden. Dazu gehören der geschäftliche, der rechtliche und der technische Kontext mit allen Spezifikationen, Rollen und Prozessen. Wer darf sich beispielsweise überhaupt mit dem Thema Anwendungssicherheit befassen? Wohl kaum die Putzkolonne, sondern vielmehr qualifiziertes und streng überwachtes Personal, das weiß, was es tut.
Eine Application Security Control (ASC) Library dient als Repository für die grundlegenden Spezifikationen der ONF-Container. Das Mapping eines Anwendungssicherheits-Lifecycle- Referenzmodells auf die Lifecycle-Modelle eines Unternehmens ist im Framework enthalten. Das erleichtert seine Einbindung in die IT-Architektur des Unternehmens.
2) Application Normative Framework (ANF)
Das ANF kann man sich als Ableitung des ONF für eine spezifische Anwendung vorstellen. Wenn also eine Anwendung, die wesentlich für die Verarbeitung und Weitergabe vertraulicher, weil personenbezogener Daten ist, sicher sein soll, dann ist das ANF anzuwenden, um die nötige Sicherheitsfreigabe zu erreichen. Weil eine Organisation in der Regel nicht nur eine Anwendung betreibt, liegt meist eine Eins-zu-vielen-Beziehung zwischen dem ONF und den ANF-Implementierungen vor.
Jede ANF muss verwaltet werden. Dazu dient der vordefinierte Application Security Management Process (ASMP). Er umfasst fünf Schritte oder Phasen:
- 1. Das Festlegen der Anforderungen an eine Anwendung und ihre Umgebung;
- 2. das Einschätzen der Sicherheitsrisiken für eine Anwendung;
- 3. das Erstellen und Pflegen des entsprechenden ANF;
- 4. das Provisionieren und Betreiben der Anwendung;
- 5. das Auditieren der Sicherheit einer Anwendung.
Mit Hilfe eines ONF-Management-Prozesses lässt sich das Rahmenwerk selbst laufend iterativ verbessern. Diese Verbesserungen werden automatisch an die ANFs vererbt. Aber auch Verbesserungen, die auf ANF-Ebene erzielt werden, können an das Mutter-ONF geliefert werden.
Um die allgemeine Anwendbarkeit des Standards 27034-1 sicherzustellen, vermeidet die ISO jede Vorschrift oder Empfehlung, was den Einsatz bestimmter Technologien, bestimmte Sicherheitskontrollen im Entwicklungszyklus oder die Anwendung auf bestimmte Wirtschaftszweige anbelangt. Weil es sich also um einen universellen und unabhängigen Standard handelt, kann jeder IT-Experte mit der ISO 27034 sowohl die Qualität als auch die Vollständigkeit seines eigenen Anwendungssicherheitsprogramm beurteilen.
Andersherum wird jedoch der ISO 27034-1-Standard zum Maßstab für die Bewertung und Zertifizierung aller Softwareentwicklungszyklen, die wenigstens die ISO 27011-Norm erfüllen wollen bzw. sollen. ISO 27023-1 umfasst nämlich bereits die Umsetzungsvorschriften des ISO 27002 und kann daher für ganz hemdsärmelige, handlungsorientierte Verfahren zur Qualitätssicherung eingesetzt werden.
Die Rolle Microsofts
Wie sich herumgesprochen haben dürfte, startete Bill Gates 2002 mit einem internen Memorandum Microsofts Initiative "Trustworthy Computing". Es dauerte bis 2007, bis die Richtlinien für einen Secure Development Lifecycle (SDL) veröffentlicht werden konnten, so dass Partner in der Lage waren, sie zu übernehmen und anzuwenden. ((Bild 4)) Daher verwundert es wenig, wenn dieser SDL heute im Anhang 1 des ISO 27034-1 als erstes Beispiel für die Anwendung des Standards genannt wird. Tatsächlich hat sich Microsoft am 13. Mai 2013 als konform mit dem ISO 27034-1 erklärt, um, wie Microsofts Partner Director Steve Lipner sagte, "ein Beispiel zu geben". Ein Mapping des Microsoft-SDL auf das ONF des ISO 27034-1 weist zahlreiche Parallelen auf.
Die Bedeutung des Standards
Sowohl Softwarehersteller als auch Kunden profitieren vom neuen Standard. Sie sprechen nun die gleiche Sprache, verfügen über die gleichen Qualitätskriterien und die gleichen Handlungsempfehlungen. Kunden sehen sich endlich in der glücklichen Position, die Sicherheitsniveaus der ihnen angebotenen Produkte vergleichen und bewerten zu können, BEVOR sie sie einführen. Und wenn ein Hersteller keine Zertifizierung nach ISO 27034-1 vorweisen kann, ist er sofort im Nachteil.
Da beratende Gremien wie SAFEcode, die Cloud Security Alliance (CSA) sowie die Vorschriften des PCI/DSS (Payment Card Industry/Data Security Standard) den neuen Standard unterstützen und teils übernehmen, ist es nur eine Frage der Zeit, bis sich ISO 27034-1 als branchenweite Mindestanforderung für Informations- und Anwendungssicherheit durchsetzt. Jeder Sicherheitsvorfall, der sich ereignet, erhöht den Druck auf die Betroffenen (d.h. ein Unternehmen und seine Softwarelieferanten), sich konform zum ISO 27034-1 aufzustellen.
(ID:44368401)
:quality(80)/p7i.vogel.de/wcms/cf/b8/cfb86aadb58020a2cb92037a97308c57/0113561881.jpeg "Wer sichere Software will, sollte sich nicht nur auf Symptomsuche begeben, sondern prophylaktisch im Software Development Lifecycle ansetzen. (©Witthaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/2b/e02b28bbc50981cf345629acc5cad5af/0113368373.jpeg "Synopsys, NowSecure und Secure Code Warrior bündeln ihr Know-how. (Bild: Mohamed Hassan)")