Deutliche Unterschiede bei den Expertensystemen zur Entwicklung sicherer Apps
(IINews) - Zwar helfen Software Development Kits bei der Entwicklung von Apps, sie
unterstützen jedoch Sicherheitsanforderungen nicht immer ausreichend.
Aber auch manche darauf spezialisierte Expertensysteme werden nicht allen
professionellen Ansprüchen gerecht. Thomas Doms von der TÜV TRUST IT
GmbH Unternehmensgruppe AUSTRIA hat deshalb einen Vergleich dieser
Expertensysteme vorgenommen.
Zwar stellen alle Anbieter von Betriebssystemen für die App-Entwicklung
über kostenlose Software Development Kits (SDK) eine Sammlung von
Werkzeugen und Anwendungen zur Verfügung, mit denen sich native
Applikationen für die jeweilige Plattform entwickeln lassen. Allerdings sind
die Themenbereiche Datensicherheit und Datenschutz in diesen SDKs in der
Regel für professionelle Anwender nicht genügend und in der nötigen
Detailtiefe berücksichtigt. Deshalb stehen die Entwickler vor der Frage, wie
sie zu den notwendigen und richtigen Informationen gelangen können.
Hierfür bieten sich grundsätzlich drei Möglichkeiten an.
Die Variante mit dem geringsten Professionalisierungsgrad aber größter
Verbreitung ist der autodidaktische Weg, bei dem über eigene Recherchen
im Internet oder Handbücher Know how aufgebaut wird. Das Problem
hierbei ist jedoch, valide Quellen im Internet zu finden und das Wissen
aktuell zu halten. Außerdem besteht erfahrungsgemäß eine große
Schwierigkeit darin, aus der Fülle des recherchierbaren Inhalts die
relevanten Informationen zu selektieren und zusätzlich dedizierte Hinweise
für die richtige Implementierung im spezifischen Projekt herauszufiltern.
Eine zweite Variante besteht in der Nutzung von einfachen
Expertensystemen. Meist handelt es sich dabei um Checklisten, Whitepapers
und ähnliche Dokumente, die zum Download bereitgestellt werden. Sie
enthalten generische Maßnahmen und Hinweise für die Absicherung von
Apps. Diese Angebote sind zumeist kostenfrei. Ihre Begrenzung besteht
jedoch darin, dass sie primär der Aneignung von Basiswissen zu sicherer
App-Entwicklung dienen. Trotzdem werden sie häufig auch bei
professionellen Anforderungen genutzt. Dabei besitzen sie für die Begleitung
von Projekten mit spezifischen Risikopotentialen, wozu beispielsweise die
Verarbeitung besonders sensibler Daten, personenbezogener Daten oder
eine sichere Kommunikation mit Backend-Systemen gehören, nicht die
notwendige Detailtiefe.
Kontextspezifische Expertensysteme hingegen erzeugen ausgerichtet an den
definierten Funktionalitäten einer zu entwickelnden App und ihren
kontextabhängigen Rahmenbedingungen eine spezifische
Sicherheitsrichtlinie für dieses Projekt. Darin sind alle bekannten
Bedrohungen, übergeordnete generische Sicherungsmaßnahmen und
plattformspezifische Implementierungshinweise enthalten. Außerdem
verfügen diese Expertensysteme in der Regel über konkrete Code-Beispiele
als Best Practices, die durch ein einfaches Paste-and-copy für die
Entwicklung genutzt werden können.
Der entscheidende Vorteil dieser ausgefeilten Expertensysteme liegt neben
der größeren Detailtiefe und dem größeren Umfang der Hinweise auch darin,
dass durch ihren methodischen Ansatz handhabbare, schlanke
Vorgabedokumente entstehen. Sie beschreiben nur die für das spezifische
Projekt notwendigen und relevanten Maßnahmen statt ein umfangreiches
Gesamtkompendium für die App-Entwicklung zu liefern, welches alle
Bedrohungen und Risiken für Apps beschreibt. Durch das gelieferte Know-
how mit den kontinuierlich aktualisierten Informationen sind solche
Expertensysteme jedoch nicht kostenfrei.
Ãœber die TÃœV TRUST IT GmbH Unternehmensgruppe TÃœV AUSTRIA
Die TÃœV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÃœV
tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten
Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und
unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die
Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich
auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud
Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-
Risikomanagement und IT-Compliance.
Datum: 29.09.2014 - 11:06 Uhr
Sprache: Deutsch
News-ID 1114304
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Robin Heinrich
Stadt:
50354 Hürth
Telefon: 02233 6117-75
Kategorie:
Internet
Meldungsart: bitte
Versandart: Veröffentlichung
Freigabedatum: 29.09.2014
Dieser Fachartikel wurde bisher 102 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Deutliche Unterschiede bei den Expertensystemen zur Entwicklung sicherer Apps"
steht unter der journalistisch-redaktionellen Verantwortung von
Robin Heinrich (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).