Sichere Web-Entwicklung: Wie echte Sicherheitslücken helfen, Fehler zu vermeiden

Veröffentlicht am October 16, 2024

Sicherheitslücken in Web-Anwendungen sind alltäglicher denn je. Doch wie können Entwickler:innen bereits in Planung & Umsetzung dafür sorgen, dass Anwendungen sicher sind? Clemens Hübner, Security Engineer bei inovex GmbH, spricht im Meetup „What the Web!? Failures & Future Fixes“ über Sicherheitslücken & erklärt, wie man aus Fehlern anderer lernt.

Von echten Schwachstellen lernen: Web-Security in der Praxis

Im Rahmen seines Vortrags auf dem Meetup "What the Web!? Failures & Future Fixes" wird Clemens Hübner zeigen, wie wichtig es ist, dass Entwickler:innen sich bewusst mit Web-Sicherheit auseinandersetzen – und zwar nicht erst am Ende eines Projekts. Anhand realer Schwachstellen und Exploits erläutert er, welche Gefahren im Netz lauern, wie man von diesen für die eigene Arbeit lernen und sie von vornherein vermeiden kann.

„In der Praxis zeigt sich, dass viele Sicherheitslücken technisch simpel sind – und genau deswegen so gefährlich. In einem Fall waren in einer medizinischen Anwendung Patientendaten allein durch das Ändern einer Benutzer-ID zugänglich",

erzählt Clemens. Ein solches Beispiel verdeutlicht, wie gravierend Schwachstellen sein können, selbst in sensiblen Bereichen wie dem Gesundheitswesen.

Die OWASP Top 10: Orientierungshilfe für Entwickler:innen

Clemens empfiehlt allen Entwickler:innen, sich die OWASP (Open Worldwide Application Security Project) Top 10 anzusehen – eine Liste der zehn häufigsten Risiken in Web-Anwendungen. Diese Liste bietet Entwickler:innen eine wertvolle Orientierungshilfe über die wichtigsten Bedrohungen. „Die OWASP Top 10 ist ein super Startpunkt, um ein Bewusstsein für Sicherheitslücken zu schaffen. Aber man darf sich nicht in falscher Sicherheit wiegen, wenn man nur diese zehn Punkte abhakt. Sie sind sehr generisch und allgemein.“ erklärt der Security-Engineer.

Präventive Maßnahmen für den tägliche Entwicklungs-Alltag

Wie können Entwickler:innen also dafür sorgen, dass ihre Anwendungen sicher sind? Clemens nennt hier zwei wesentliche Ebenen: Tools und Mindset. „Es gibt gute und sogar kostenlose Tools, um Schwachstellen im Code oder in laufenden Anwendungen zu erkennen. Das ist ein erster Schritt.“ Doch mindestens genauso wichtig ist die Haltung des Teams zur Sicherheit. Wenn Sicherheit als gemeinsames Ziel verstanden wird und nicht als „lästige Aufgabe“, die man dem Security-Manager überlässt, werden Sicherheitsmaßnahmen effektiver.

Ein weiteres Schlüsselkonzept, das der Security-Engineer betont, ist das sogenannte Threat Modelling. Dabei versetzt sich das Entwicklungsteam in die Rolle eines potenziellen Angreifers und analysiert, welche Schwachstellen in der Anwendung bestehen könnten.

„Das hilft enorm, um Schwachstellen frühzeitig zu erkennen und gegenzusteuern.“

Herausforderungen im Entwicklungs-Alltag: Warum Sicherheit oft vernachlässigt wird

Trotz der wachsenden Bedeutung von Web-Sicherheit wird dieses Thema im Entwicklungs-Alltag oft untergeordnet. Woran liegt das? Laut Clemens ist es selten Desinteresse seitens der Entwickler:innen. Vielmehr fehlt es oft an Wissen und klarer Priorisierung. „Viele wissen schlicht nicht, wo sie anfangen sollen, und sehen Sicherheit als etwas, das erst am Ende relevant wird.“

Wichtig ist laut ihm, Sicherheit von Anfang an als zentralen Bestandteil der Softwareentwicklung mitzudenken. „Die größte Schwachstelle ist oft das Missverständnis, dass Sicherheit erst am Ende bedacht werden muss. Dabei geht es darum, eine Kultur zu schaffen, in der Web-Sicherheit von Anfang an mitgedacht wird.“ sagt er.

Ein weiteres Hindernis sei die fehlende Awareness auf Management-Ebene:

„Oft wird der Wert einer sicheren Anwendung nicht richtig verstanden. Dabei geht es nicht nur um den Schutz vor großen Hacks, sondern auch um ganz konkrete finanzielle Schäden, wenn Bezahlschranken einer Anwendung umgangen werden.“

Der Wert von Community-Meetups

Clemens betont, wie wichtig der Austausch in der Entwickler-Community ist. Meetups bieten eine ideale Plattform, um sich über neue Technologien und deren Sicherheitsaspekte auszutauschen. Entwickler:innen fällt es oft schwer, mit der schnellen Entwicklung im Web-Bereich Schritt zu halten, daher sind gemeinsame Erfahrungen und Wissen von großem Wert.

Das Meetup „What the Web!? Failures & Future Fixes: Von Web-Security bis HTMX“ findet am 17. Oktober 2024 bei inovex GmbH in Erlangen statt. Neben dem Vortrag von Clemens wird Johanna Dolinga in ihrem Vortrag „HTMX - Return to Monkey?“ ein schlankes Framework vorstellen, das die Entwicklung dynamischer Webanwendungen revolutioniert.

Zum Meetup

Sarah Grodd Projektmanagerin NUEDIGITAL

Profil

Ähnliche Blogbeiträge

Das war NUEDIGITAL 2024

Blick zurück aufs Nürnberg Digital Festival 2024: 10 Tage voller gelber Highlights, digitaler Innovationen und inspirierender Begegnungen. Im Blog gibt’s die besten Momente und Infos, wie du Teil von NUEDIGITAL wirst. Save the date: Vom 30.6. bis 9.7.2025 erstrahlt die Region wieder im digitalen Glanz!

Veröffentlicht am July 23, 2024

Sarah Grodd

Projektmanagerin
@NUEDIGITAL

Kubiss: Ein Kultur- und Bildungsserver als Pionier für di...

Kubiss.de, der Kultur- und Bildungsserver für den Großraum Nürnberg, ist eine Plattform für kulturelle & schulische Bildung sowie ein Pionier der digitalen Finanzbildung. Im Interview spricht Peter Kührt, Vorstandsmitglied & Mitbegründer des Bildungsservers, über die Entwicklung von Kubiss und warum Finanzbildung heute wichtiger denn je ist.

Veröffentlicht am October 01, 2024

Sarah Grodd

Projektmanagerin
@NUEDIGITAL

Wie digitale Gleichstellung und Zugänglichkeit gelingen k...

Noblesse Oblique zeigt, wie Inklusion & Diversität von Anfang an in der Softwareentwicklung verankert werden können. Von barrierefreier UX bis hin zu inklusiven Kommunikationskonzepten schafft das Studio innovative Lösungen, die Unternehmen dabei unterstützen. Wie das gelingen kann, verraten Ha-Phuong Nguyen & Alide von Bornhaupt.