BSI stellt Leitfaden für sichere Webanwendungen bereit

DeveloperIT-ManagementIT-ProjekteKarriereSicherheit
Checkliste (Bild: Shutterstock / Dmitry-Naumov)

Er wurde vom Bundesamt für Sicherheit in der Informationstechnik in Zusammenarbeit mit SEC Consult erstellt. Das Werk soll Behörden und ihren Lieferanten als Orientierungshilfe bei der Softwareentwicklung dienen. Es bietet aber auch Firmen hilfreiche Informationen und Checklisten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit der Unternehmensberatung SEC Consult als Orientierungshilfe für das Beschaffungswesen deutscher Behörden einen Leitfaden für die sichere Entwicklung von Webanwendungen erstellt. Das 70-seitige Werk steht kostenlos zum Download zur Verfügung.

bsi-logo

Es versteht sich als Orientierungshilfe für das Beschaffungswesen deutscher Behörden. Einerseits unterstützt es sie dabei, sichere Software zu beschaffen, andererseits richtet es sich an Software-Hersteller, die Behörden mit Software versorgen wollen. Der BSI-Leitfaden eignet sich aber auch für alle anderen Unternehmen und Organisationen, unabhängig von deren Größe und Tätigkeitsfeld.

Die Autoren beschreiben darin keinen detaillierten Entwicklungsprozess, sondern geben Empfehlungen zur Entwicklung sicherer Webanwendungen beziehungsweise sicherer Software im Allgemeinen. Die lassen sich dann an die Anforderungen des jeweiligen Unternehmens anpassen.

Das BSI will mit dem Leitfaden helfen, dass Schwachstellen von Software, die bereits bei der Entwicklung entstehen aber oft erst sichtbar werden, wenn diese in Betrieb ist, zu eliminieren oder zumindest zu reduzieren.

Für Auftragnehmer ist es vor allem wichtig zu wissen, worauf sie im Entwicklungsprozess zu achten haben. Der Leitfaden definiert angemessene Sicherheitsanforderungen entsprechend des Schutzbedarfs der zu entwickelnden Anwendung, den sogenannten Secure Software Development Lifecycle (SSDL). Auftraggebern helfen die Guidelines dabei, zu überprüfe, ob die Vorgaben, die der Softwareentwickler erhalten hat, auch eingehalten werden.

Auftraggeber werden so in die Lage versetzt, den Auftragnehmer beziehungsweise den gesamten Entwicklungsprozess objektiv zu bewerten. Sie finden dafür auch Checklisten für den Entwicklungsprozess, die technischen Vorgaben an die Implementierung, Verschlüsselung, Datenhaltung und Datentransport, Konfiguration, Datenschutz, Fehlerbehandlung sowie das HTTP-Protokoll und die Web-Seiten selbst. Alleine die lohnen schon den kostenlosen und registrierungsfreien Download des PDFs.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen