Die Web Application Security bietet ein sehr breites und mittlerweile auch unübersichtliches Spektrum an Möglichkeiten zur Herstellung von Sicherheit. Ein Patentrezept oder ein für alle Unternehmen gleichermaßen gültiges Vorgehen existiert nicht. Es gilt, die für die eigene Situation am besten passenden Herangehensweisen zu finden und diese in der richtigen Reihenfolge umzusetzen. Mit unserem Roadmap-Workshop führen wir Sie ans Ziel!

Das Vorgehen gliedert sich in 4 Phasen:

1 - Bestandsaufnahme

Vorbereitung

• Wir senden Ihnen einen Fragenkatalog zur Vorbereitung des Workshops zu.

Durchführung des Workshops

• Wir stellen unser Vorgehensmodell vor
• Gemeinsam stimmen wir Rahmenbedingungen ab, wie Resourcen, personeller Aufwand, Budget, Zeitrahmen etc.
• Durchführung einer groben Bestandsaufnahme der eingesetzten Software und Webanwendungen
• Festlegung von Risikoklassen bzw Zuordnung zu bestehenden Risikoklassen

Erledigung von Hausaufgaben

• Erstellung des Softwareinventars und Zuordnung zu Risikoklassen

Ergebnis

Ein Softwareinventar liegt vor und die einzelnen Bestandteile sind Risikoklassen zugeordnet.

2 – Planung

• Definition von Zielen und Teilzielen
• Festlegung von Aktivitäten
• Erstellung von Metriken zur Bewertung des Vorgehens
• Erstellung eines Phasenplans

Ergebnis

Der Vorgehensplan ("Roadmap") liegt vor.

3 - Umsetzung Phase 1

Es wird unterschieden zwischen der Betrachtung des Altbestands an Anwendungen und dem Vorgehen bei Neuentwicklungen. Bei Altanwendungen geht es primär darum, Sicherheitsbrobleme festzustellen und auf möglichst wirtschaftliche Weise Gegenmaßnahmen anzuwenden. Bei Neuanwendungen ist das Problem an der Wurzel zu lösen und es sind organisatorische und den Software Development Lifecycle (SDLC) verbessernde Maßnahmen umzusetzen.

Altbestand

• Sicherheitsanalyse der Anwendungen mit Priorität auf Risikoklasse "rot".
• Pragmatische Bereinigung der Probleme

Neuentwicklung

• Umsetzung von einfachen aber wirksamen Maßnahmen zur Verbesserung der Sicherhei
• tPriorisierung gemäß Risikoklasse
• Sicherheits-Know-how wird vorwiegend eingekauft

4 – Umsetzung weitere Phasen

Je nach den individuellen Anforderungen und Sicherheitszielen werden weitere Umsetzungsphasen geplant. Der typische zeitliche Planungshorizont liegt in der Größenordnung von 3 Jahren

Altanwendungen

• Sicherheitsanalyse der Anwendungen in den niedrigeren Risikoklassen
• Pragmatische Bereinigung der Probleme

Neuanwendungen

• Ausdehnen der Aktivitäten auf niedrigere Risikoklassen
• Intensivierung der Aktivitäten
• Verkürzung von Prüfintervallen
• Schrittweises Reinholen des Sicherheits-Know-hows ins eigene Unternehmen