Zusammenfassung
In den letzten beiden Kapiteln wurde auf unterschiedlichste technische Ansätze, Maßnahmen und Tools eingegangen, mit denen sich Sicherheitsaspekte in allen Phasen der Entwicklung einer Webanwendungen bis hin zu deren Produktivnahme vorgeben, umsetzen oder verifizieren lassen. Doch solche technischen Aspekte alleine können ohne den entsprechenden organisatorischen Rahmen mit Richtlinien, Prozessen und Zuständigkeiten zu keiner nachhaltigen Sicherheit bei Nutzung und Entwicklung von Software führen.
Wer denkt, mit Technologien lassen sich Sicherheitsprobleme lösen, der versteht weder die Probleme noch die Technologien, Bruce Schneier
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
PDCA steht hier für „Plan“, „Do“, „Check“, und „Act“.
- 2.
Statt von internen und externen Anwendungen wird häufig von Application Tiers (und in dem Zusammenhang dann etwa von einer Tier-1-Anwendung) gesprochen, um eine exaktere Unterscheidung von unterschiedlichen Anwendungsklassen zu ermöglichen.
- 3.
Dies ließe sich z. B. über ein zusätzliches Security Flag umsetzen, welches im Ticket-System für alle Service und Change Requests auswählbar ist.
- 4.
Hilfreich kann in diesem Zusammenhang das Tool ThreatFix der Denim Group sein. Mit diesem lassen sich aus verschiedenen Scanner-Ergebnissen entsprechende Regeln für die WAF ModSecurity automatisch generieren.
- 5.
Ein solcher Maintenance Mode lässt sich mit einer einfachen Regel im Webserver (z. B. dem Apache-Modul mod_rewrite) umsetzen.
- 6.
Zum Beispiel zahlt Google jedem, der eine Sicherheitslücke in einem seiner Webdienste auffindet und meldet, bis zu 20.000 Dollar.
- 7.
Im Englischen werden für die Beschreibung eines solchen Vorgehens gewöhnlich die Begriffe Application/Software Security Initiative und Software Security Program verwendet.
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
Copyright information
© 2015 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Rohr, M. (2015). Organisatorische (Web-)Anwendungssicherheit. In: Sicherheit von Webanwendungen in der Praxis. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-03851-9_5
Download citation
DOI: https://doi.org/10.1007/978-3-658-03851-9_5
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-03850-2
Online ISBN: 978-3-658-03851-9
eBook Packages: Computer Science and Engineering (German Language)