Sichere Web-Entwicklung: Wie echte Sicherheitslücken helfen, Fehler zu vermeiden

© 2024, Sarah Grodd via DALL·E

16.10.24

Sicherheitslücken in Web-Anwendungen sind alltäglicher denn je. Doch wie können Entwickler:innen bereits in der Planung und Umsetzung dafür sorgen, dass ihre Anwendungen sicher bleiben? Clemens Hübner, Security Engineer bei inovex GmbH, wird im Rahmen des Meetups „What the Web!? Failures & Future Fixes“ über reale Sicherheitsvorfälle sprechen und erklärt im INterview, wie man aus Fehlern anderer lernt.

Von echten Schwachstellen lernen: Web-Security in der Praxis

Im Rahmen seines Vortrags auf dem Meetup "What the Web!? Failures & Future Fixes" wird Clemens Hübner zeigen, wie wichtig es ist, dass Entwickler:innen sich bewusst mit Web-Sicherheit auseinandersetzen – und zwar nicht erst am Ende eines Projekts. Anhand realer Schwachstellen und Exploits erläutert er, welche Gefahren im Netz lauern, wie man von diesen für die eigene Arbeit lernen und sie von vornherein vermeiden kann.

„In der Praxis zeigt sich, dass viele Sicherheitslücken technisch simpel sind – und genau deswegen so gefährlich. In einem Fall waren in einer medizinischen Anwendung Patientendaten allein durch das Ändern einer Benutzer-ID zugänglich,“ erzählt Clemens. Ein solches Beispiel verdeutlicht, wie gravierend Schwachstellen sein können, selbst in sensiblen Bereichen wie dem Gesundheitswesen.

Die OWASP Top 10: Orientierungshilfe für Entwickler:innen

Clemens empfiehlt allen Entwickler:innen, sich die OWASP (Open Worldwide Application Security Project) Top 10 anzusehen – eine Liste der zehn häufigsten Risiken in Web-Anwendungen. Diese Liste bietet Entwickler:innen eine wertvolle Orientierungshilfe über die wichtigsten Bedrohungen. „Die OWASP Top 10 ist ein super Startpunkt, um ein Bewusstsein für Sicherheitslücken zu schaffen. Aber man darf sich nicht in falscher Sicherheit wiegen, wenn man nur diese zehn Punkte abhakt. Sie sind sehr generisch und allgemein.“ erklärt der Security-Engineer.

Präventive Maßnahmen für die tägliche Entwicklung

Wie können Entwickler:innen also dafür sorgen, dass ihre Anwendungen sicher sind? Clemens nennt hier zwei wesentliche Ebenen: Tools und Mindset. „Es gibt gute und sogar kostenlose Tools, um Schwachstellen im Code oder in laufenden Anwendungen zu erkennen. Das ist ein erster Schritt.“ Doch mindestens genauso wichtig ist die Haltung des Teams zur Sicherheit. Wenn Sicherheit als gemeinsames Ziel verstanden wird und nicht als „lästige Aufgabe“, die man dem Security-Manager überlässt, werden Sicherheitsmaßnahmen effektiver.
Ein weiteres Schlüsselkonzept, das der Security-Engineer betont, ist das sogenannte Threat Modelling. Dabei versetzt sich das Entwicklungsteam in die Rolle eines potenziellen Angreifers und analysiert, welche Schwachstellen in der Anwendung bestehen könnten. „Das hilft enorm, um Schwachstellen frühzeitig zu erkennen und gegenzusteuern.“

Herausforderungen im Entwicklungs-Alltag: Warum Sicherheit oft vernachlässigt wird

Trotz der wachsenden Bedeutung von Web-Sicherheit wird dieses Thema im Entwicklungs-Alltag oft untergeordnet. Woran liegt das? Laut Clemens ist es selten Desinteresse seitens der Entwickler:innen. Vielmehr fehlt es oft an Wissen und klarer Priorisierung. „Viele wissen schlicht nicht, wo sie anfangen sollen, und sehen Sicherheit als etwas, das erst am Ende relevant wird.“

Wichtig ist laut ihm, Sicherheit von Anfang an als zentralen Bestandteil der Softwareentwicklung mitzudenken. „Die größte Schwachstelle ist oft das Missverständnis, dass Sicherheit erst am Ende bedacht werden muss. Dabei geht es darum, eine Kultur zu schaffen, in der Web-Sicherheit von Anfang an mitgedacht wird.“ sagt er.

Ein weiteres Hindernis sei die fehlende Awareness auf Management-Ebene. „Oft wird der Wert einer sicheren Anwendung nicht richtig verstanden. Dabei geht es nicht nur um den Schutz vor großen Hacks, sondern auch um ganz konkrete finanzielle Schäden, wenn Bezahlschranken einer Anwendung umgangen werden.“

Der Wert von Community-Meetups

Zudem betont Clemens, wie wichtig der Austausch in der Entwickler-Community ist. Meetups bieten eine ideale Plattform, um sich über neue Technologien und deren Sicherheitsaspekte auszutauschen. Entwickler:innen fällt es oft schwer, mit der schnellen Entwicklung im Web-Bereich Schritt zu halten, daher sind Erfahrungen und Wissen aus der Community von unschätzbarem Wert.

Das Meetup „What the Web!? Failures & Future Fixes: Von Web-Security bis HTMX“ findet am Donnerstag, den 17. Oktober 2024, von 18:00 bis 22:00 Uhr bei der inovex GmbH in Erlangen statt. Neben dem spannenden Vortrag von Clemens über Web-Security gibt es noch ein weiteres Highlight: Johanna Dolinga wird in ihrem Vortrag „HTMX - Return to Monkey?“ ein schlankes Framework vorstellen, das die Entwicklung dynamischer Webanwendungen revolutioniert.

Weitere Beiträge

TEDxNuremberg 2024: The Power Of Uncertainty

Besuche die TEDxNuremberg 2024: Spannende Speaker zeigen, wie Unsicherheit in KI, Klimawandel und Wandel als Chance genutzt werden kann - wir verlosen Tickets!

Die Coburger Designtage parken ein!

Design kann so vieles sein. Ein Werkzeug. Eine Vision. Eine Identität. Oder der Schlüssel zur Zukunft. Die Welt des Designs dreht sich an den Coburger Designtagen um wichtige Themen und zeigt, wie Design die Welt verbessern kann.

DIGITAL SCHOOL DAYS 2021

Gemeinsam mit deiner Hilfe wollen wir digitale Bildung in der Region vorantreiben. Hierfür haben wir 2019 digitale Aktionstage gestartet – die DIGITAL SCHOOL DAYS. Auch in beim #nuedigital Festival 2021 werden diese wieder stattfinden!

FinsurTech Fantasy 2021

Die Planungen laufen für das Nürnberg Digital Festival 2021 und auch in diesem Jahr wird es wieder einen FinsurTech Fantasy Day geben. Am Mittwoch, den 14.07.2021 dreht sich beim wieder alles rund um die Welt der Finanz- und Versicherungsbranche.

eCommerce Day 2021

Zwei Tage geballte eCommerce Power: Am Donnerstag, den 15.07. findet das „Festival im Festival“ der Commerce Day 2021 statt. Am Freitag, den 16.07. folgt dann die eCommerce Convention.

Ein Theaterstück komplett auf Telegram?

Ein spannendes Experiment! Am Samstag, 3. April 2021 und am Freitag, 9. April 2021 geht das Staatstheater Nürnberg Schauspiel mit einer Live-Vorstellung von „Macbeth – Ein Kurznachrichtentheater“ online.

Cookie Einstellungen

Wir verwenden Cookies. Wenn Du auf “Alle akzeptieren” klickst, stimmst Du der Speicherung von Cookies auf deinem Gerät zu, um die User Experience auf der Website zu verbessern, die Websitenutzung zu analysieren und unsere Marketingziele zu unterstützen. In unserer Datenschutzerklärung kannst du mehr über die genutzten Cookies erfahren und deine Einstellungen ändern.

Cookie optin by Olli machts