Bundesamt für Sicherheit in der Informationstechnik

G 2.158 Mängel bei der Entwicklung und der Erweiterung von Webanwendungen und Web-Services

Wird eine Webanwendung oder ein Web-Service mit fehlenden oder unzureichenden Vorgaben und Standards entwickelt beziehungsweise erweitert, so kann dies zu Fehlern, Qualitätseinbußen oder einer unvollständig umgesetzten Funktionalität führen. Fehler, die in frühen Entwicklungsphasen der Anwendung gemacht werden, werden häufig erst in einem fortgeschrittenen Entwicklungsstadium entdeckt. Um diese Fehler nachträglich zu beheben, müssen oft aufwendige Änderungen vorgenommen werden. Dadurch können die Entwicklungskosten deutlich zunehmen. Im Fall von grundlegenden, architektonischen Fehlern ist die Webanwendung oder der Web-Service gegebenenfalls sogar komplett neu zu entwickeln.

Gibt es darüber hinaus keine Vorgaben für die Umsetzung von Sicherheitsmechanismen, wird der erforderliche Schutzbedarf (zum Beispiel hoher Schutzbedarf bezüglich Verfügbarkeit) der zu verarbeitenden Daten möglicherweise nicht erfüllt.

Nachfolgend werden Auswirkungen von fehlenden Vorgaben bei der Entwicklung und Erweiterung von Webanwendungen und Web-Services beispielhaft aufgeführt.

  • Aufgrund eines fehlenden Vorgehensmodells bei der Softwareentwicklung (Software Development Lifecycle) werden nicht alle Entwicklungsphasen strukturiert durchlaufen, sodass Sicherheitsaspekte gar nicht oder erst in einer späten Entwicklungsphase berücksichtigt werden. In der Folge sinkt die Qualität der Sicherheitsfunktionen, wodurch das angestrebte Sicherheitsniveau nicht erreicht wird oder die Entwicklungskosten aufgrund notwendiger Nachbesserungen steigen.
  • Fehlende Programmierrichtlinien (Coding Guidelines) führen zu einer uneinheitlichen Struktur und unterschiedlichen Ausprägungen von Programmierstilen und Sicherheitsmechanismen. Die Einarbeitung in den Programmcode bei der Erweiterung oder Wartung der Webanwendung oder des Web-Service wird dadurch erschwert. Demzufolge sind nachträgliche Änderungen und Erweiterungen nur mit hohem Aufwand umzusetzen und mit steigender Komplexität auch fehleranfälliger.
  • Durch die falsche Spezifikation von (sicherheitsrelevanten) Testfällen und die unvollständige Auswahl von Testdaten werden nicht alle denkbaren Anwendungsfälle abgedeckt, sodass Fehler unerkannt bleiben. Wird zum Beispiel die Komponente einer Webanwendung oder eines Web-Service zur Filterung von Eingabedaten auf Basis unzureichender Testfälle und Testdaten geprüft, so werden unvollständig umgesetzte Filtermechanismen nicht erkannt.
  • Falls funktionale und rechtliche Anforderungen an die Barrierefreiheit nicht erfüllt werden, ist die Webanwendung nur eingeschränkt von Menschen mit Behinderung nutzbar.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK