Was ist Anwendungssicherheit?

Definition von Anwendungssicherheit

Anwendungssicherheit bezieht sich auf das Entwickeln, Hinzufügen und Testen von Sicherheitsfunktionen in Anwendungen, um Bedrohungen wie nicht autorisierte Zugriffe und Manipulationen abzuwehren.

Gründe für die Bedeutung der Anwendungssicherheit

Anwendungssicherheit ist wichtig, da heutige Anwendungen oftmals über verschiedene Netzwerke hinweg verfügbar und mit der Cloud verbunden sind. So werden sie anfälliger für Sicherheitsbedrohungen und -verletzungen. Es besteht zunehmend Druck und Anreiz, Sicherheit nicht nur auf Netzwerkebene, sondern auch innerhalb der Anwendungen zu gewährleisten. Die Angriffe von Hackern sind heute stärker auf Anwendungen gerichtet, als je zuvor. Anwendungssicherheitstests können Schwächen auf Anwendungsebene aufzeigen und zur Entwicklung geeigneter Abwehrmaßnahmen beitragen.

Arten der Anwendungssicherheit

Zu den unterschiedlichen Funktionen der Anwendungssicherheit gehören u.a. Authentifizierung, Autorisierung, Verschlüsselung, Protokollierung und Anwendungssicherheitstests. Entwickler können zudem Code-Anwendungen entwickeln, um Sicherheitslücken zu schließen.

Über Authentifizierungs- und Autorisierungsverfahren, die in eine Anwendung integriert werden, können Softwareentwickler den Anwendungszugriff auf autorisierte Anwender beschränken. Authentifizierungsverfahren stellen sicher, dass es sich tatsächlich um den betreffenden Anwender handelt. Während des Anmeldevorgangs muss sich der Anwender durch Eingabe von Anwendername und Kennwort gegenüber der Anwendung ausweisen. Bei der Multi-Faktor-Authentifizierung sind mehrere Formen der Authentifizierung erforderlich, beispielsweise eine geheime Zeichenfolge (Kennwort), ein vorhandener Gegenstand (Mobilgerät oder Ausweiskarte) oder ein biometrisches Merkmal (Fingerabdruck- oder Gesichtserkennung).

Nach der Authentifizierung kann der betreffende Anwender zum Zugriff auf die Anwendung und zu deren Nutzung autorisiert sein. Durch Vergleich der Anwenderidentität mit einer Liste autorisierter Anwender kann das System überprüfen, ob ein Anwender zum Zugriff auf die Anwendung berechtigt ist. Die Authentifizierung muss vor der Autorisierung erfolgen, damit die Anwendung nur bereits überprüfte Anmeldedaten mit der Liste autorisierter Anwender abgleicht.

Nutzt ein Anwender nach der Authentifizierung die Anwendung, können sensible Daten durch andere Sicherheitsmaßnahmen vor Einsicht oder Missbrauch durch Cyber-Kriminelle geschützt werden. In Cloud-basierten Anwendungen kann der Datenverkehr, der sensible Daten zwischen dem Anwender und der Cloud transportiert, aus Datenschutzgründen verschlüsselt werden.

Im Falle eines Sicherheitsverstoßes in einer Anwendung kann die Protokollierung dazu beitragen, die unbefugte Person, die auf die Daten zugegriffen hat, zu identifizieren. Anhand eines Zeitstempels in den Protokolldateien der Anwendung können Datum und Uhrzeit, Anwender sowie vom Zugriff betroffene Komponenten nachverfolgt werden.

Anwendungssicherheit in der Cloud

Für die Anwendungssicherheit in der Cloud bestehen einige zusätzliche Herausforderungen. In Cloud-Umgebungen werden gemeinsam genutzte Ressourcen bereitgestellt. Daher muss unbedingt sichergestellt werden, dass Anwender nur auf Daten zugreifen können, zu deren Ansicht sie in ihren Cloud-basierten Anwendungen autorisiert sind. Sensible Daten sind in diesen Anwendungen besonders anfällig, weil sie über das Internet in beide Richtungen zwischen Anwender und Anwendung übertragen werden.

Sicherheit mobiler Apps

Mobilgeräte senden und empfangen ebenfalls Daten über das Internet statt über ein privates Netzwerk und sind daher anfällig für Angriffe. Unternehmen können virtuelle private Netzwerke (VPNs) verwenden, um einen Anwendungssicherheits-Layer für Mitarbeiter hinzuzufügen, die sich remote bei Anwendungen anmelden. IT-Abteilungen können mobile Apps auch auf Konformität mit den Sicherheitsrichtlinien des Unternehmens überprüfen, bevor Mitarbeiter die Anwendungen auf Mobilgeräten mit Verbindung zum unternehmenseigenen Netzwerk verwenden dürfen.

Webanwendungssicherheit

Webanwendungssicherheit bezieht sich auf Anwendungen und Services, auf die Anwender über einen Webbrowser zugreifen. Da sich Webanwendungen auf Remote-Servern und nicht lokal auf Anwendercomputern befinden, müssen Informationen bidirektional über das Internet zwischen Anwender und Anwendung ausgetauscht werden. Webanwendungssicherheit ist besonders wichtig für Unternehmen, die Webanwendungen hosten oder Webservices zur Verfügung stellen. Diese Unternehmen schützen ihr Netzwerk oft mit einer Webanwendungs-Firewall vor Eindringlingen. Eine Webanwendungs-Firewall prüft und blockiert im Bedarfsfall Datenpakete, die als schädlich eingestuft sind.

Was sind Anwendungssicherheitskontrollen?

Anwendungssicherheitskontrollen sind Techniken zur Erweiterung der Sicherheit einer Anwendung auf Codierungsebene, um deren Anfälligkeit für Bedrohungen zu reduzieren. Viele dieser Kontrollen beziehen sich auf die Reaktion der Anwendung auf unerwartete Eingaben, die Cyber-Kriminelle als Schwäche ausnützen können. Programmierer können Anwendungscode so schreiben, dass sie mehr Kontrolle über das Ergebnis dieser unerwarteten Eingaben haben. Fuzzing ist ein Anwendungssicherheitstest, bei dem Entwickler die Ergebnisse der unerwarteten Werte oder Eingaben testen. Die Entwickler ermitteln, welche Ergebnisse oder Eingaben zu einer unerwarteten Reaktion der Anwendung und damit zur einer Sicherheitslücke führen können.

Was ist ein Anwendungssicherheitstest?

Anwendungsentwickler führen Anwendungssicherheitstests im Rahmen der Softwareentwicklung durch, um Sicherheitslücken in neuen oder aktualisierten Versionen von Softwareanwendungen auszuschließen. Ein Sicherheitsaudit gewährleistet die Compliance der Anwendung mit einem bestimmten Satz von Sicherheitskriterien. Nach bestandenem Sicherheitsaudit müssen die Entwickler sicherstellen, dass nur autorisierte Anwender auf die Anwendung zugreifen können. In Penetrationstests (auch Pentests genannt) versetzen sich Entwickler in die Denkweise von Cyber-Kriminellen und suchen nach Möglichkeiten, in die Anwendung einzudringen. Zu Pentests gehören u.a. Techniken der „sozialen Manipulation“ (Social Engineering) oder der gezielten Täuschung von Anwendern, um sich nicht autorisierten Zugang zu verschaffen. Tester führen in der Regel sowohl nicht authentifizierte als auch authentifizierte Sicherheitsanalysen (Security Scans) (als angemeldete Anwender) durch, um Sicherheitslücken aufzudecken, die u.U. in beiden Zuständen nicht angezeigt werden.