Egal ob Webshop, Client-Server Anwendung oder Handy-App – die Anforderungen an die Sicherheit der Benutzer- und Applikationsdaten steigen seit Jahren kontinuierlich. Auch ohne dezidierte Erwähnung in der Anforderung gehen Kunden davon aus, dass vom ersten Moment der Entstehung der Sicherheitsaspekt mit einbezogen wird. Auch wenn mittlerweile in jeder Programmiersprache diverse Bausteine zur Absicherung von Anwendungen zur Verfügung stehen, werden diese oft aus Unwissenheit nicht verwendet. Auch kann eine fehlerhafte Implementierung zu folgenschweren Schwachstellen führen.
Welchen Service biete ich an?
Ich prüfe Ihre Anwendungen sowohl aus Sicht des Entwicklers als auch aus der eines Angreifers. Im Sinne einer systemischen Vorgehensweise ist nicht nur der Sourcecode selbst, sondern auch Zugriffe auf externe Datenquellen, die Ablage von Benutzerinformationen, usw. Teil des Reviews. Als Ergebnis erhalten Sie einen Bericht über die herausgearbeiteten Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich ihr Team auch während der Umsetzung der Maßnahmen. In einer zweiten Iteration wird die ordnungsgemäße Implementierung der Maßnahmen sowie deren Wirksamkeit überprüft, die abschließende Dokumentation dient zur Nachvollziehbarkeit und als Beleg für eventuelle Audits.
Wie können Sie sicherstellen, dass Ihre Anwendung zukünftig sicherer entwickelt werden?
Sowohl der aus dem Code-Review entstandene Schwachstellenbericht als auch die Dokumentation der Behebungsmaßnahmen liefern bereits wichtige Informationen, um mehr Bewusstsein für das Thema Sicherheit bei Ihrem Team zu schaffen. Bei einer gemeinsamen Umsetzung der Maßnahmen in Form eines Workshops liegt mein Fokus vor allem auf der Vermittlung von weiterführendem Knowhow in diesem Bereich. Sollte dennoch Bedarf an einer Vertiefung bestehen, kann dies gerne im Rahmen einer inhouse Schulung stattfinden.