Mehr Sicherheit fĂĽr interaktive Portale
Das Thema Sicherheit ist bei Webportalen, die dem Austausch sensibler Daten dienen, umfassend zu betrachten. Hier werden vier wesentliche Pfeiler eines Sicherheitskonzepts für Portale mit hohem Sicherheitsbedürfnis präsentiert.
- Björn Kibbel
Das Thema Sicherheit ist bei Webportalen, die dem Austausch sensibler Daten dienen, umfassend zu betrachten. Es beginnt bei der Schulung der Entwickler, geht über die Architektur, die Entwicklung bis hin zum Test und zur Reaktion auf eingetretene Sicherheitsvorfälle. Hier werden vier wesentliche Pfeiler eines Sicherheitskonzepts für Portale mit hohem Sicherheitsbedürfnis präsentiert.
Viele Unternehmen bieten ihren Kunden und Geschäftspartnern interaktive Inhalte im Internet an. Häufig werden diese über Portale im Web zur Verfügung gestellt. Die rein fachliche Implementierung von Webanwendungen stellt heute keine große Herausforderung mehr dar. Schwierig und spannend wird es dann, wenn es um Portalanwendungen im Umfeld komplexer Branchen wie dem Banken- und Versicherungssektor geht. Hier sind Internetportale meist keine Selbstläufer mehr, sondern mit Risiken und damit hohen Sicherheitsanforderungen und Betriebskosten behaftet. Das ist der Fall, weil Kunden und Geschäftspartnern der Zugriff auf Echtdaten aus dem Bestandssystem ermöglicht wird. So können sie Daten der laufenden Geschäftsvorfälle live im Internet "beobachten" oder sich als Partner mit Geschäftsvorfällen direkt in die internen Prozesse integrieren.
Vor dem Hintergrund der Berichterstattung über Datenklau von Millionen von Zugangsdaten kommt dann schnell die Frage auf, wie solche Szenarien abzusichern sind, sodass alle Sicherheitsbedürfnisse erfüllt sind und das eigene Unternehmen nicht auch in die Schlagzeilen gerät.
Ganzheitlicher Ansatz beim Thema Sicherheit
Das Thema Sicherheit spielt auf allen Ebenen des Portalszenarios eine Rolle. Es beginnt bei der Schulung der Entwickler vor Projektbeginn, geht über die Architektur und die Entwicklung bis hin zum Test, umfasst aber auch den Softwarebetrieb, vertragliche Bestandteile zum Beispiel mit Rechenzentrumsdienstleistern und die Reaktion auf eingetretene Sicherheitsvorfälle (s. Abb. 1).
Dabei ist es auf keiner der Ebenen möglich, eine absolute Sicherheitsstufe zu erreichen beziehungsweise alle erdenklichen Risiken auszuschalten. Vielmehr geht es immer darum, Sicherheitsnutzen und die dazu gehörigen Kosten für die Umsetzung oder den Aufbau entsprechender Maßnahmen gegeneinander abzuwägen, sich bewusst in die eine oder andere Richtung zu entscheiden und die getroffenen Entscheidungen zu dokumentieren. Die Sicherheit muss also als ganzheitliches Thema im Projektverlauf betrachtet werden und darf nicht nur vereinzelt auftauchen.
Vier wesentliche Teilbereiche eines Sicherheitskonzepts
Um in einem Portalprojekt die sicherheitsrelevanten Aspekte von Beginn an vollständig im Griff zu behalten, empfiehlt es sich, parallel zur Designphase ein Sicherheitskonzept zu erstellen. An diesem lassen sich alle späteren Entscheidungen mit Sicherheitsauswirkungen gegenprüfen. Sicherheit gehört damit in den Verantwortungsbereich des Projektleiters. Grundsätzlich wird das Thema wie folgt behandelt:
- Ermittlung des Schutzbedarfs auf allen Ebenen des umzusetzenden Szenarios.
- Ermittlung der Bedrohungsszenarien, die sich für die geplante Anwendung ergeben können.
- Zuordnung von Schutzmaßnahmen für alle Bedrohungsszenarien, die den Bedarf decken und die Kosten in erträglichem Rahmen halten.
- Ableitung von Checklisten und PrĂĽfpunkten aus den umzusetzenden SchutzmaĂźnahmen fĂĽr die einzelnen Projektphasen.
