© Ico Maker/shutterstock.com
Basisstrategien für sichere Web-Apps und APIs mit .NET Core

Anwendungssicherheit mitentwickeln


Um Web-Apps mit .NET Core sicher zu entwickeln, braucht es neben optimaler Abstimmung organisatorischer Prozesse und verwendeter Tools als Erstes das Bewusstsein, dass IT-Security nicht nur auf die Netzwerkebene gehört, sondern in die Anwendungsschicht – am besten von Anfang an.

Die Gründe für das mangelnde Bewusstsein hinsichtlich Anwendungssicherheit in Deutschland sind vielfältig: Im Alltag fehlen Wissen, Zeit, Sicherheitsexperten, die richtigen Tools und schlichtweg das Budget für Security, denn das Thema wird als sperrig, aufwendig und teuer empfunden. Auch die unternehmensinterne Organisation ist Teil des Problems, denn – so sollte man meinen – die Sicherheit einer laufenden Anwendung ist mehr denn je eine gemeinsame Verantwortung. Doch in der Praxis sieht es anders aus: Das Sicherheitsteam muss eine Verletzung der Anwendungsschicht erkennen, überwachen und darauf reagieren. Das Operations-Team muss die Leistung, Stabilität und Zuverlässigkeit der Anwendung im Falle eines Verstoßes sicherstellen. Das Engineering-Team muss wissen, welche Sicherheitsmängel zu beheben sind und welche Bibliotheken und Komponenten sicher zu verwenden sind. Allerdings haben alle drei Teams oft keinerlei Einblick, wenn es um den Sicherheitsstatus der laufenden Anwendung geht.

Sicherheit muss die Anwendungsebene adressieren

Bekannte Sicherheitsrisiken für .NET-Core-basierte Webapplikationen sind laut aktuellem AppSec Intelligence Report [1] Cross-site Scripting, SQL Injections, XML External Entity Injection (XXE) und XPath Injection, um nur einige zu nennen. Dabei steigt die Anzahl und Komplexität von Angriffen auf Webanwendungen stetig [2]. Statistiken legen nahe, dass fast 80 Prozent der Anwendungen [3] mindestens eine kritische oder hochkritische Schwachstelle enthalten und schätzungsweise 84 Prozent der Sicherheitsverletzungen [4] Schwachstellen auf der Anwendungsebene ausnutzen. Umso erstaunlicher ist es, dass Investitionen in die Security vorrangig für Netzwerk, Datenbanken und Web getätigt werden, wie aus zahlreichen Berichten beispielsweise des Ponemon Institute [5] hervorgeht, obwohl viele neue Angriffstypen eindeutig auf die Applikationsebene abzielen.

Anwendungssicherheit gehört an den Anfang der Entwicklung

Damit ein Bewusstsein für Anwendungssicherheit wachsen kann, muss der Blick auf den Anfang des Entwicklungszyklus gerichtet werden. Nicht jeder Entwickler ist ausreichend mit der Sicherheitsproblematik im Detail vertraut, eventuell nicht richtig geschult ode...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang