PC vor Angriffen schützen: Der Anwender steht im Fokus

Was also tun? Ein großes Problem ist der ungebrochene Glaube an die Leistungsfähigkeit externer Dienstleister. Das Muster läuft meist so ab: Zuerst lassen die meisten Unternehmen eine Web-Anwendung bauen. Und fragen hinterher nach der Sicherheit. Nach dem Schaden ist man bekanntlich klüger. Für die Website- oder Shopbetreiber fallen je nach Lebenszyklus der Applikation hinterher rund 20 bis 30 Prozent des Projektbudgets für die Schadensbeseitigung an.

Besser wäre ein präventiver Ansatz: Nimmt das Unternehmen die Aufgabe der Applikationssicherheit im Internet ernst, kann es sogar Geld sparen, ein Argument das immer greift. Zum Beispiel, indem man vor dem Roll-Out einer webbasierten Anwendung die verantwortlichen IT-Manager in einem Betrieb mit ähnlicher Größenordnung nach ihren bisherigen Erfahrungen befragt.

Ganz nebenbei generiert die Chefetage dadurch mehr Verhandlungsspielraum mit dem externen Dienstleister. Diesem sollte die Erkenntnis vermittelt werden, dass die vertraglichen Leistungen durch Penetrationstests regelmäßig überprüft werden, analog etwa zur Gewährleistungspflicht bei einem Hausbau.

Ein gewisses Maß an Sachkompetenz im eigenen Haus stärkt die Kontrollfunktion gegenüber externen Dienstleistern erheblich und verhindert teure Insellösungen. Man sollte darauf Wert legen, dass die Entwickler beim Partner schon beim Programmieren auf korrekte Ein- und Ausgabeprüfung der Codes achten sowie die Zugriffsberechtigungen entsprechend spezifizieren beziehungsweise einschränken. Läuft die Webanwendung einmal relativ reibungslos, sollte auch die Nachhut nicht vergessen werden, zum Beispiel die Fernwartung mit verschlüsselten Kommunikationswegen.