(firmenpresse) - Zwar helfen Software Development Kits bei der Entwicklung von Apps, sie unterstützen jedoch Sicherheitsanforderungen nicht immer ausreichend. Aber auch manche darauf spezialisierte Expertensysteme werden nicht allen professionellen Ansprüchen gerecht. Thomas Doms von der TÜV TRUST IT GmbH Unternehmensgruppe AUSTRIA hat deshalb einen Vergleich dieser Expertensysteme vorgenommen.
Zwar stellen alle Anbieter von Betriebssystemen für die App-Entwicklung über kostenlose Software Development Kits (SDK) eine Sammlung von Werkzeugen und Anwendungen zur Verfügung, mit denen sich native Applikationen für die jeweilige Plattform entwickeln lassen. Allerdings sind die Themenbereiche Datensicherheit und Datenschutz in diesen SDKs in der Regel für professionelle Anwender nicht genügend und in der nötigen Detailtiefe berücksichtigt. Deshalb stehen die Entwickler vor der Frage, wie sie zu den notwendigen und richtigen Informationen gelangen können. Hierfür bieten sich grundsätzlich drei Möglichkeiten an.
Die Variante mit dem geringsten Professionalisierungsgrad aber größter Verbreitung ist der autodidaktische Weg, bei dem über eigene Recherchen im Internet oder Handbücher Know how aufgebaut wird. Das Problem hierbei ist jedoch, valide Quellen im Internet zu finden und das Wissen aktuell zu halten. Außerdem besteht erfahrungsgemäß eine große Schwierigkeit darin, aus der Fülle des recherchierbaren Inhalts die relevanten Informationen zu selektieren und zusätzlich dedizierte Hinweise für die richtige Implementierung im spezifischen Projekt herauszufiltern.
Eine zweite Variante besteht in der Nutzung von einfachen Expertensystemen. Meist handelt es sich dabei um Checklisten, Whitepapers und ähnliche Dokumente, die zum Download bereitgestellt werden. Sie enthalten generische Maßnahmen und Hinweise für die Absicherung von Apps. Diese Angebote sind zumeist kostenfrei. Ihre Begrenzung besteht jedoch darin, dass sie primär der Aneignung von Basiswissen zu sicherer App-Entwicklung dienen. Trotzdem werden sie häufig auch bei professionellen Anforderungen genutzt. Dabei besitzen sie für die Begleitung von Projekten mit spezifischen Risikopotentialen, wozu beispielsweise die Verarbeitung besonders sensibler Daten, personenbezogener Daten oder eine sichere Kommunikation mit Backend-Systemen gehören, nicht die notwendige Detailtiefe.
Kontextspezifische Expertensysteme hingegen erzeugen ausgerichtet an den definierten Funktionalitäten einer zu entwickelnden App und ihren kontextabhängigen Rahmenbedingungen eine spezifische Sicherheitsrichtlinie für dieses Projekt. Darin sind alle bekannten Bedrohungen, übergeordnete generische Sicherungsmaßnahmen und plattformspezifische Implementierungshinweise enthalten. Außerdem verfügen diese Expertensysteme in der Regel über konkrete Code-Beispiele als Best Practices, die durch ein einfaches Paste-and-copy für die Entwicklung genutzt werden können.
Der entscheidende Vorteil dieser ausgefeilten Expertensysteme liegt neben der größeren Detailtiefe und dem größeren Umfang der Hinweise auch darin, dass durch ihren methodischen Ansatz handhabbare, schlanke Vorgabedokumente entstehen. Sie beschreiben nur die für das spezifische Projekt notwendigen und relevanten Maßnahmen statt ein umfangreiches Gesamtkompendium für die App-Entwicklung zu liefern, welches alle Bedrohungen und Risiken für Apps beschreibt. Durch das gelieferte Know-how mit den kontinuierlich aktualisierten Informationen sind solche Expertensysteme jedoch nicht kostenfrei.
Ãœber die TÃœV TRUST IT GmbH Unternehmensgruppe TÃœV AUSTRIA
Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.