Systemschwächen einer Anwendung vermeiden

Die Veröffentlichung Engineering Principles for Information Technology Security (A Baseline for Achieving Security) des amerikanischen National Institute of Standards and Technology (NIST) sieht die Herleitung von System- und Sicherheitsanforderungen in der Entwicklungsphase vor. Ich stimme zwar zu, dass einige Anforderungen erst während der Entwicklungsphase im Detail definiert werden sollten, doch müssen die grundsätzlichen Anforderungen bereits während der Initialisierungsphase in einer Sicherheitsrichtlinie dokumentiert werden.

In der Initialisierungsphase wird die Problematik auf einer höheren Ebene definiert, die dem Entwickler einen Überblick über das System aus Sicht des Kunden ermöglicht. Zählt Sicherheit zu den Kernpunkten des Systemdesigns, müssen die grundlegenden Sicherheitsziele in diese Betrachtung aus der Vogelperspektive eingeschlossen sein. Die Sicherheitsrichtlinie sollte die Anforderungen an das System sowie den Sicherheitsbedarf des Systems beinhalten. Vorrangiges Ziel der Sicherheitsrichtlinie ist die Gewährleistung von Integrität, Vertraulichkeit, Sicherheit, Zuverlässigkeit und Verfügbarkeit des Systems. Ein System, dem man nicht vertraut, wird man auch nicht verwenden.

Beispielsweise könnte ich eine sehr einfache Anwendung zur Messung der Kundenzufriedenheit entwickeln, die das Ziel hat, die Kundenloyalität zu steigern. Das System beruht auf den Antworten von Kunden auf Meinungsumfragen zur Kundenzufriedenheit. Zusätzliche Daten werden u.a. durch Informationen zu Händlern, Unternehmen und Kundenkontakten sowie durch Angaben zu Datum, Menge und Artikel der Verkäufe geliefert. Das Unternehmen setzt die Anwendung zur Erkennung von positiven und negativen Entwicklungen im Verkaufsgebiet ein, so dass das Management diese eindämmen bzw. fördern kann. Jeder Händler kann seine eigenen Kundenzufriedenheitswerte sowie die des Unternehmens insgesamt abrufen, er kann jedoch nicht die Werte von anderen Händlern einsehen. Konkurrierende Unternehmen können ebenfalls nicht die Ergebnisse der anderen Unternehmen einsehen, der Zugriff auf landesweite Durchschnittswerte ist jedoch zulässig. Wenn die Daten der Umfragen durch den Kunden bestätigt worden sind, dürfen sie nicht mehr veränderbar sein. Damit die durch die Anwendung gewonnenen Daten verwendbar sind, müssen die Ergebnisse vertrauenswürdig sein.

Nachdem der Kunde das Problem definiert und die Systemanforderungen formuliert hat, habe ich ihn gebeten, bei der Erstellung einer Sicherheitsrichtlinie mitzuwirken. Diese Richtlinie hat sich als sehr eindeutig erwiesen. Wie bereits erwähnt, ist das Ziel einer Sicherheitsrichtlinie die Erfüllung der nachfolgenden Kriterien:

• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Zuverlässigkeit
• Sicherheit

Die Vertraulichkeit der Daten ist gegeben, da die Vertriebsstellen lediglich ihre eigenen Ergebnisse sowie den Durchschnitt des gesamten Unternehmens anzeigen können und Unternehmen lediglich ihre eigenen Ergebnisse sowie den landesweiten Durchschnitt einsehen können. Die Integrität ist ebenfalls berücksichtigt, indem Quelldaten nicht verändert werden können. Der Kunde wünscht eine Verfügbarkeit der Anwendung während der üblichen Geschäftszeiten. Das System berücksichtigt das Kriterium der Zuverlässigkeit, da alle durchgeführten Umfragen nach Kunden und Zeitangaben der Beantwortung und Übermittlung zurückverfolgt werden können. Und schließlich muss eine angemessene Sicherheit gewährleistet sein, die mit systemeigenen Sicherheitsmechanismen die verwalteten Daten schützt. Zwar ist dies lediglich eine verkürzte Sicherheitsrichtlinie, sie entspricht jedoch den Zielsetzungen.