Software- und Applikationssicherheit sicherstellen mit der ISO 27034

Was ist die ISO 27034-Norm? 

Die ISO 27034-Norm besteht aus einer Reihe von umfassenden Richtlinien für die Applikationssicherheit im Datenschutz. Sie beschreibt den Prozess, den Unternehmen zur Entwicklung, Implementierung und Wartung eines effektiven Applikationssicherheits-Programms durchführen müssen.

Datenschutz ist einer der wichtigsten Aspekte der IT-Sicherheit und umfasst den Schutz und die sichere Aufbewahrung von Daten und Computerdateien. Die ISO 27034-Norm wurde entwickelt, um Unternehmen bei der Implementierung komplexer Lösungen für die Applikationssicherheit zu unterstützen. Die Norm definiert den Schutz sensibler Unternehmensdaten durch Identifizieren, Bewerten von Implementieren von Kontrollen für Applikationen, die Daten speichern oder verwenden.

Der Zweck der ISO 27034 ist es, Unternehmen bei der Erfüllung ihrer gesetzlichen Pflichten zum Schutz vertraulicher Daten zu unterstützen. Zu diesen Daten gehören u. a. personenbezogene Daten, Finanzdaten, Krankenakten und andere persönlich identifizierbare Daten (PII; personally identifiable infomation).

Um festzustellen, ob Ihr Unternehmen die Vorgaben der ISO 27034 einhält, sollten Sie sich zunächst darüber informieren, was die Norm beinhaltet und wie sie Ihnen bei der Verbesserung der Applikationssicherheit helfen kann. Sobald Ihr Unternehmen versteht, was zur Erfüllung der Vorgaben notwendig ist, kann es mit der Umsetzung beginnen. Dabei reicht das Spektrum von der Entwicklung neuer Applikationen bis hin zum Testen vorhandener Applikationen. 

Warum ist die ISO 27034 wichtig?

Es gibt viele Gründe, warum die ISO 27034 wichtig ist, aber der wichtigste ist die Applikationssicherheit im Datenschutz. Die Norm bietet ein klares Framework, mit dem Sie dafür sorgen können, dass Ihre Applikationen sicher sind und Vorschriften wie der DSGVO entsprechen, während Sie gleichzeitig flexibel und schnell auf neue Bedrohungen reagieren können. 

Beginnen wir mit den Grundlagen: Was genau ist Applikationssicherheit? Unter Applikationssicherheit versteht man den Schutz der Daten vor unbefugtem Zugriff mithilfe von Software- und Hardware-Maßnahmen. Dazu gehören ganz einfache Maßnahmen wie das Installieren von Antiviren-Software auf Ihrem Computer oder komplexere Maßnahmen wie die Verschlüsselung und biometrisches Scannen. 

Die Applikationssicherheit spielt aus drei Gründen eine wesentliche Rolle beim Schutz Ihres Unternehmens vor Datenverlust oder -diebstahl:

• Sie begrenzt das Risiko von Diebstahl oder Datenverlust, indem sie die Wahrscheinlichkeit verringert, dass nicht autorisierte Personen Zugriff auf Ihr System erlangen.
• Sie erschwert Kriminellen (bzw. Mitarbeitern mit Diebstahlabsichten) den Zugriff auf vertrauliche Informationen, deren unangemessene Offenlegung Schäden verursachen kann.
• Die IT-Sicherheit Ihrer eigenen Geräte und Systeme kann durch die Identifizierung und Implementierung von Best Practices im Rahmen von ISO 27034 gestärkt werden.

Mithilfe der Vorgaben in ISO 27034 können Sie zudem flexibler auf Änderungen von Vorschriften oder Bedrohungen wie Hacking-Angriffe auf Websites oder Finanzdienstleistungsunternehmen (wie Banken) reagieren. 

Welche Vorteile bietet die Applikationssicherheit? 

Unter Applikationssicherheit versteht man den Schutz von Software-Applikationen vor Angriffen, die darauf abzielen, Applikationen zu beeinträchtigen, zu zerstören oder unbefugten Zugriff darauf zu erhalten. Sie ist ein wichtiger Bestandteil der Informationssicherheit und umfasst das Design und die Implementierung verschiedener Kontrollen im Zusammenhang mit der Applikation.Die

Applikationssicherheit bietet eine Reihe von Vorteilen:

• Sie schützt vertrauliche Daten und Informationen, die für böswillige Angreifer möglicherweise wertvoll sind.
• Sie erschwert den Diebstahl oder Missbrauch von Daten.
• Sie verhindert, dass User Applikationen missbrauchen.
• Sie beseitigt Schwachstellen in Applikationen und verhindert dadurch Angriffe.
• Sie senkt die Kosten für die Einhaltung von Vorschriften.

 An wen richtet sich die ISO 27034?

Da die Welt immer stärker vernetzt ist, müssen Unternehmen Vorkehrungen treffen, um das Risiko für ihre Kunden zu minimieren. Dies kann mehrere Dinge beinhalten. Unter anderem müssen Unternehmen sicherstellen, dass Sie die aktuellen Vorschriften zur Datensicherheit einhalten. 

Die ISO 27034 richtet sich an alle, die wissen möchten, wie sie ihr Unternehmen schützen können.

Beispiele:

• Projektmanager, IT-Sicherheitsmanager und Verantwortliche für Software-Applikationen
• Technische Teams, darunter Systemadministratoren, Software-Architekten, Software-Entwickler und -Tester
• Einkäufer von Software
• Service Provider, die Software erstellen und/oder anbieten und deren Sicherheit gewährleisten müssen.

Sie richtet sich auch an Personen, die dafür sorgen möchten, dass die von ihnen erfassten und gespeicherten Daten sicher sind, und verhindern möchten, dass die Daten gestohlen oder auf irgendeine Weise gegen sie verwendet werden.

Was sind die Ziele der ISO 27034?

Ziel der ISO 27034 ist es, den ordnungsgemäßen Schutz der Applikationen sicherzustellen. Dazu gehört die Sicherung von Daten während der Übertragung, beim Speichern und im Ruhezustand. Im Rahmen der ISO 27034 wird sichergestellt, dass alle Applikationen und Software sicher und konsistent über alle Plattformen hinweg verwendet werden. Dies bedeutet, dass nur autorisierte Benutzer Zugriff auf Daten und Systeme haben.  

Schließlich soll sichergestellt werden, dass sowohl die Applikation als auch ihre Umgebung vor nicht autorisiertem Zugriff bzw. Verwendung geschützt sind.

Außerdem beinhaltet die ISO 27034 folgenden Ziele:

• Bereitstellung eines einheitlichen Frameworks für die Akkreditierung, Zertifizierung und Registrierung – zur Reduzierung von Kosten und Erhöhung der Flexibilität
• Definieren eines international anerkannten Standards, der von allen Ländern, Organisationen und Personen, die am Prüfprozess beteiligt sind, verwendet werden kann.
• Identifizieren der mit der Applikation verbundenen Risiken und Bestimmen der Sicherheitsmaßnahmen, die zur Minimierung dieser Risiken angewendet werden können
• Entwickeln und Implementieren eines umfassenden Risikomanagementplans, der auf die allgemeine Sicherheitsstrategie Ihres Unternehmens abgestimmt ist
• Implementieren eines Prozesses zur Überwachung, Messung und Kontrolle der Applikationssicherheitsumgebung Ihres Unternehmens
• Regelmäßiges Überprüfen, ob die Applikationssicherheitsumgebung Ihres Unternehmens wie vorgesehen funktioniert
• Bereitstellen von Ideen, Grundsätzen und Verfahren
• Unterstützung von Unternehmen beim Definieren von risikobasierten IT-Sicherheitsanforderungen

Was sind wesentliche Konzepte der ISO 27034?

Der ISO 27034-Prozess umfasst die Identifizierung von Risiken und Schwachstellen, die Implementierung von Kontrollen und die Überwachung des Fortschritts. Es ist wichtig zu wissen, dass es bei der ISO 27034 nicht nur um Applikationssicherheit geht. Die Norm ist auf eine Vielzahl von Informationssystemen anwendbar, einschließlich organisatorischer Abläufe, Workflows und Netzwerke für den Informationsaustausch.

1. Application Security Control (ASC)

Application Security Control (ASC) ist ein Kontrollelement, das eine Reihe von Schritten vorschreibt, die beim Erstellen oder Aktualisieren einer Applikation zu befolgen sind, und Sicherheitslücken in einer Applikation beseitigt. Mit diesen Schritten wird sichergestellt, dass die Informationen im Quellcode nur vom Ersteller des Codes geändert werden können.

Ein ASC besteht aus vier Hauptkomponenten:

• Identifizieren und Beschreiben der Sicherheitsanforderungen der Applikation
• Definieren der Sicherheitsgrenzen der Applikation
• Entwickeln und Implementieren einer Kontrollstruktur, die diesen Anforderungen entspricht
• Testen, Überwachen und Aufrechterhalten der Effektivität der Kontrollstruktur

Für jeden ASC muss eine Verifizierungsmessung durchgeführt werden. Um zu bestätigen, dass jede Verbindung mit einer Datenbank der Regel entspricht, kann die Verifizierung von „Bindungs-Variablen in SQL-Anweisungen“ beispielsweise das Auditing des gesamten Quellcodes umfassen. Alternativ dazu kann ein Programm zum Scannen von Schwachstellen (z. B. SQL-Injections) verwendet werden.

2. Application Level of Trust

Der Trust-Level von Applikationen ist das Vertrauen in eine Applikation oder Applikationskomponente. Er bestimmt, wie vertrauenswürdig die Daten sind, die in einer Applikation oder Applikationskomponente enthalten sind.

Der tatsächliche Trust-Level wird bei der Bewertung der Applikation angezeigt. Beide sollten im Prinzip gleichwertig sein. Jedoch gelingt es Applikationsentwicklern gelegentlich nicht, die Kontrollelemente ordnungsgemäß zu integrieren. Aus diesem Grund ist das Vertrauensniveau der Applikation geringer als erwartet.

Ihr Unternehmen muss sicherstellen, dass alle Applikationen dieselbe Sicherheitsstufe verwenden. Wenn Unternehmen den Basiscode ändern – durch Aktualisierungen oder neu hinzugefügte Funktionen – muss die Sicherheitsstufe aktualisiert werden. Dadurch wird sichergestellt, dass Ihre Daten auch nach der Abwehr eines Angriffs geschützt bleiben.

3. Organisation Normative Framework (ONF)

Das ONF ist ein unternehmensweites Archiv von Sicherheitskontrollen und -verfahren für Applikationen. Eine ASC-Bibliothek ist eine zentrale Bibliothek, die zum ONF gehört. Sie kann von Unternehmen zum Speichern und Aktualisieren von ASCs verwendet werden. Das ONF beschreibt auch die Umstände, unter denen ein Applikationsentwicklungsprojekt eine bestimmte Sicherheitsaktivität nutzen sollte, wie z. B. die Durchführung eines Penetrationstests.

Unternehmen sollten auf ONF-Ebene Folgendes angeben:

• Die mit der IT-Sicherheit verbundenen Schritte
• Zugehörige Rollen und Verantwortlichkeiten
• Best Practices für alle
• Maßnahmenbibliothek (Application Security Control Library – ASC Library)

4. Application Normative Framework (ANF)

Das ANF ist ein Framework zur Definition von Anforderungen an die Applikationssicherheit. Es enthält eine Reihe von normativen Aussagen, die verwendet werden können, um sicherzustellen, dass die Sicherheitsanforderungen der Applikation erfüllt werden.

Das Framework definiert eine Reihe von Anforderungen, die in drei Kategorien unterteilt sind:

• Applikationsspezifisch: applikationsspezifische Anforderungen, wie z. B Datenschutz und Zugriffskontrolle.
• Informationen: informationsspezifische Anforderungen, wie z. B Integrität und Vertraulichkeit.
• Umgebung: umgebungsspezifische Anforderungen, wie z. B. Verfügbarkeit und Ressourcenzugriffskontrolle. 

5. Verifizierungsprozess für die Applikationssicherheit

Bei diesem Prozess wird geprüft, ob der Code richtig geschrieben wurde und ob er Schwachstellen hat, die zu erfolgreichen Hacker-Angriffen führen können.

Der Prozess umfasst zahlreiche Schritte, wie z. B.:

• Erste Bewertung: Die Anwendung wird auf Sicherheitslücken, einschließlich Pufferüberläufen, SQL-Injections und Cross-Site-Scripting (XSS) untersucht.
• Patching: Es werden Patches installiert, um alle Sicherheitsschwachstellen, die während der ersten Bewertung festgestellt wurden, zu beseitigen.
• Produktverifizierung: Das Produkt wird getestet, um sicherzustellen, dass es nach der Installation von Patches nicht verändert wurde. Unter Umständen ist eine Neukonfiguration oder ein erneutes Testen der Funktionalität der Software durch unabhängige Dritte erforderlich.

6. Managementprozess für die Applikationssicherheit

Mit dieser Methode wird sichergestellt wird, dass Applikationen und Systeme sicher, zuverlässig und stabil sind. Er enthält eine Reihe von Schritten, die von allen Personen befolgt werden müssen, die Zugriff auf eine Applikation oder ein System haben. Ziel dieser Schritte ist es, die Wahrscheinlichkeit zu verringern, dass ein böswilliger Benutzer Schwachstellen in der Applikation oder im System ausnutzt.

Er kann die folgenden Schritte umfassen:

• Definieren der Prozesse und Verfahren für das Management der Applikationssicherheit
• Implementieren eines Prozesses zur Bewertung und Verbesserung der Sicherheit von Applikationen
• Entwicklung eines Testplans für die Applikationssicherheit, mit dem Sie die Sicherheitsstufen Ihrer Applikationen gemäß den Kriterien überprüfen können, die über die Sicherheitsrichtlinien und -verfahren Ihres Unternehmens festgelegt wurden. 

7. Protokoll- und ASC-Datenstruktur

Mit dieser Methode wird sichergestellt, dass die Applikationen, die Teil eines Unternehmens sind, sicher sind. Sie umfasst die Verwendung von XML und anderer Software, um eine strukturierte Datenbank zu erstellen, in der Informationen zu Protokollen und Applikationen gespeichert werden, die innerhalb des Unternehmens verwendet werden. Dadurch wird sichergestellt, dass alle erforderlichen Informationen zentral an einem Ort gespeichert werden – für einen einfachen Zugriff durch alle Mitarbeiter eines Unternehmens.

Die Protokoll- und ASC-Datenstruktur ist in drei Teile unterteilt:

• Data Format (DF): gibt an, wie Daten im Speicher abgelegt werden.
• Data Encoding (DE): beschreibt, wie Daten von einer Zeichenfolge in binäre oder andere Darstellungen konvertiert werden.
• Data Validation (VD): beschreibt, wie Informationen vor der Verwendung überprüft werden sollen. 

8. Assurance Prediction Framework

Dieses Framework in der Applikationssicherheit ist ein Ansatz für die Entwicklung von Software, bei dem Daten zum aktuellen Status eines Projekts verwendet werden, um vorherzusagen, wie sich die Software unter verschiedenen Bedingungen verhält. Das Ziel dieses Frameworks ist es, Entwicklern eine genauere Methode zu bieten, das Verhalten ihres Codes zu prognostizieren. Auf diese Weise können sie fundierte Entscheidungen darüber treffen, wann welche Änderungen vorzunehmen sind.

Das Tool basiert auf drei grundlegenden Prinzipien: der gesamte Quellcode, der von einem Entwickler geschrieben wurde, alle Testfälle, die von Testern und Analysten geschrieben wurden, und alle Produktionsumgebungen. Jede dieser Quellen wird verwendet, um Vorhersagen über die Leistung des Systems unter verschiedenen Bedingungen zu treffen.  

Diese Vorhersagen werden dann in einem einzelnen Bericht zusammengefasst. Der Bericht zeigt, wie sich die verschiedenen Änderungen auf das Verhalten des Systems auswirken würden und warum sie aufgetreten sind. 

Dieser Ansatz liefert nachweislich deutlich genauere Ergebnisse als herkömmliche statische Analysetechniken wie Unit Testing oder statische Analysetools wie FindBugs oder PMD.

9. Application Security Life Cycle Reference Model

Dieses Referenzmodell ist ein Schritt-für-Schritt-Prozess, der Unternehmen bei der Entwicklung sicherer, wartbarer und skalierbarer Applikationen unterstützt.

Das Modell beginnt mit einer Bewertung des Status der Applikationssicherheit in einem Unternehmen. Anschließend wird anhand dieser Bewertung ein Aktionsplan zur Verbesserung der Applikationssicherheit entwickelt. Nach der Umsetzung des Plans besteht der nächste Schritt darin, seine Wirksamkeit zu messen und ihn nach Bedarf anzupassen. Schließlich wird dieser Zyklus so lange wiederholt, bis es keine Verbesserungsmöglichkeiten mehr gibt. 

Was sind die Unterschiede zwischen der ISO 27034 und der ISO 27001? 

Die ISO 27034 beschreibt nur die Sicherheitsanforderungen einer Applikation oder Software, während die ISO 27001 Unternehmen beim effektiven Management ihrer Informationssicherheitssysteme umfassend unterstützt.

Die ISO 27034 wurde speziell für die Anforderungen von Unternehmen entwickelt, die Risiken im Zusammenhang mit Applikationen und Software ausgesetzt sind, während die ISO 27001 Richtlinien zum Umgang mit Sicherheitsverletzungen und anderen Problemen in ihren Systemen enthält. 

Die ISO 27001 enthält Leitlinien dazu, wie Unternehmen sicherstellen können, dass ihre Mitarbeiter wissen, was zu tun ist, wenn Probleme mit ihrem Computersystem oder einer anderen von ihrem Unternehmen verwendeten Technologie auftreten.

 Die ISO 27034-Norm ist vollständig kompatibel mit der ISO 27001 und anderen internationalen Normen und Frameworks für ISMS. 

Hier geht's zur vollständigen Übersicht über die ISO 27001 - dem Standard für Informationssicherheit

Fazit 

Kurz gesagt, wird die ISO 27034-Norm verwendet, um die Wirksamkeit von Sicherheitskontrollen für Applikationen und Software zu bewerten. Wenn eine Applikation nicht den in ISO 27034 festgelegten Standards entspricht, kann sie zum Ziel von Hacker-Angriffen werden. In den meisten Fällen gehen Ihrem Unternehmen dadurch Geld und Kunden verloren. 

Die ISO 27034-Norm ist ein guter Ausgangspunkt, wenn Sie die Sicherheit und Sicherheitsverfahren Ihres Unternehmens auf den neuesten Stand bringen möchten. Der Standard bietet einfach umzusetzende Best Practices für die Applikationssicherheit und enthält auch einige erstklassige Ressourcen, die Ihnen bei der Implementierung helfen.

Benötigen Sie Hilfe bei den Vorbereitungen zur Einhaltung der ISO 27034-Norm? Setzen Sie sich noch heute mit einem unserer Experten für Informationssicherheit in Verbindung.