Websites und Apps werden immer umfangreicher, dynamischer und komplexer. Zudem müssen sie heute unter anderem auch für die mobile Nutzung optimiert werden. Als wäre der Aufbau, alle Abstimmungs- und Freigabeprozesse für den Launch sowie der Betrieb und die Skalierung nicht bereits aufwändig genug, so sitzen auch die Sicherheitsverantwortlichen den Web-Team ständig im Nacken.
Die Anforderungen an Security und Compliance wachsen ständig. Wer also für eine Vielzahl an Websites und Apps verantwortlich ist, für den wird alleine das Sicherheitsmanagement zur Sisyphus-Aufgabe. Welche Security- und Compliance-Tasks dabei beachtet werden müssen, hat Sicherheitsexperte Joey Stanford von Platform.sh zusammengefasst. Gleichzeitig zeigt er auf, wie sich der Sicherheitsaufwand reduzieren lässt, damit sich die Web-App-Teams wieder stärker auf ihre Kernaufgaben konzentrieren können.
Compliance- und Sicherheitsanforderungen, die bei Websites und Apps beachtet werden müssen, umfassen allgemeine Datenschutzvorgaben wie die DSGVO, branchenspezifische Compliance-Anforderungen sowie den Schutz vor klassischen Angriffsszenarien, wie etwa Denial-of-Service Angriffen oder Ransomware-Angriffen und vieles mehr.
12 wichtige Compliance und Sicherheitsaufgaben
- Security-Updates und -Scans: Regelmäßiges Scannen und Update von Sicherheitspatches – sowohl zum Schutz der Infrastruktur als auch für Applikationen.
- Einsatz und Management von Firewalls.
- Multi-Faktor-Authentifizierung (meist über SSH) bereitstellen.
- Einhalten von starken, den Industriestandards entsprechenden Verschlüsselungsmaßnahmen. Dazu gehören beispielsweise TLS für die Datenübertragung, verschlüsselte Festplatten sowie die Unterstützung für 2FA.
- Festlegen von Zugriffsregeln für einzelne Benutzer oder Benutzergruppen.
- Richtiges Isolieren und Löschen von Daten und Projekten.
- Allgemeine Compliance-Vorgaben für die Datensicherheit wie DSGVO oder international SOC-2.
- Branchenzertifizierungen, wie PCI-DSS (Payment Card Security Standard), der Sicherheitsstandard für Kreditkarten.
- Datenspeicherort auswählen: Überwachung, in welcher Region die Daten gehostet werden und Sicherstellung, dass sie innerhalb dieser Region bleiben.
- Backup-Maßnahmen und Optionen zur Wiederherstellung.
- Datenschutzerklärungen und Angaben bzw. Auswahloptionen zu Verwendung von Cookies auf jeder Website.
- Revisionssichere Protokollierung der Datenzugriffe und Nutzung.
Die Sicherheitsvorgaben sind also vielfältig – und die oben aufgeführten Beispiele decken längst nicht alle Aufgaben und Anforderungen ab. Erheblich vereinfachen lässt sich die Überwachung der IT jedoch, wenn ein Teil der Aufgaben automatisiert oder bereits durch einen Plattform-Partner sichergestellt wird. Moderne Plattformen für ein zentrales Entwickeln und Skalieren von Website und Apps bieten zum Beispiel automatisch regelmäßige Scans und Updates von Sicherheitspatches an. Kunden können sich damit darauf verlassen, dass Programme immer auf dem neuesten Stand bleiben, ohne sie ständig überwachen zu müssen. Auch die Verschlüsselung sowie sichere Authentifizierungsprozesse werden über sicherheitsorientierte Plattformen bereitgestellt.
Sollte es doch einmal zu einem Sicherheits-Zwischenfall kommen, startet ein sofortiger Incident-Management-Prozess. Experten registrieren und untersuchen den Verstoß augenblicklich und kümmern sich darum, die Sicherheitslücke schnellstmöglich zu schließen.
Daneben bietet die Nutzung von Platform-as-a-Service (PaaS) den großen Vorteil, dass die Erfahrungen vieler Kunden gebündelt werden und man den Zugriff auf „Enterprise“ Technologie und deren hohe Standards auch für kleinere Projekte ohne großen Aufwand anwenden kann.
“Der Einsatz einer standardisierten Plattform für das Managen von Web-Apps und Websiteflotten bringt viele Vorteile mit sich. Forrester hat kürzlich ermittelt, dass Unternehmen durch die Reduzierung des Aufwandes bei einer dreijährigen Projektlaufzeit zu Einsparungen von über 2 Mio. USD führen können“, erklärt Joey Stanford, VP Privacy and Security bei Platform.sh. „Auch das Thema Sicherheit spielt dabei eine große Rolle. Die Aufgaben sind nicht nur wichtig und zeitaufwändig, sie blockieren gleichzeitig die Zeit der IT-Security-Mitarbeiter – und die sind ohnehin in den meisten Unternehmen überlastet. Daher haben wir das Thema Sicherheit bei Platform.sh als Kernthema aufgenommen und behalten stets die neuesten Anforderungen unserer Kunden im Auge. Dabei haben diese stets die volle Kontrolle über ihre Daten. Das bedeutet, sie können jederzeit auf sie zugreifen oder sie löschen lassen und sie wissen stets, wo ihre Daten gespeichert sind – und das ausschließlich in Rechenzentren mit strengen Sicherheitsvorkehrungen. Wir sehen es als unsere Aufgabe, die Daten unserer Kunden zu schützen. Das tun wir, indem wir Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen.“
#Platform.sh
