Best Practice Leitfaden Development - DSAG
Best Practice Leitfaden Development - DSAG
Best Practice Leitfaden Development - DSAG
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
32<br />
5 aBaP-siCHerHeit und CoMPLianCe<br />
ein elementarer Baustein der itGC ist das Änderungswesen (Change Management), zu dem<br />
wiederum eigenentwicklungen zählen. sicherheitsdefekte im selbstgeschriebenen aBaP-Code<br />
stellen eine Verletzung der generellen it-Kontrollen dar und erschüttern damit die Grundmauern<br />
jedes internen Kontrollsystems.<br />
abbildung 3: iKs-risiken durch unsicheren aBaP-Code<br />
dies bedeutet insbesondere, dass sicherheitsdefekte im aBaP-Code potenziell nicht nur<br />
auswirkungen auf Compliance-standards haben, sondern auch gesetzliche anforderungen<br />
verletzen können.<br />
alle in abbildung 1 dargestellten sicherheitsdefekte sind daher auch Compliance-relevant.<br />
5.4 testWerKzeuGe<br />
Für aBaP-sicherheitstests eigenen sich insbesondere sogenannte statische Codeanalyse-tools.<br />
es gibt hier verschiedene kommerzielle anbieter, die in wesentlichen Bereichen die Möglichkeiten<br />
des Code inspectors erweitern:<br />
> analyse des saP-standard-Codings, insbesondere von aPi-aufrufen<br />
> sehr hohe scan-Geschwindigkeiten für Continuous Monitoring<br />
> Globale daten- und Kontrollflussanalysen, da diese für die meisten sicherheitstests elementar<br />
sind.<br />
> umfangreiche Beschreibungen des Problems mit Lösungsvorschlägen<br />
> Hinreichende testabdeckung (oWasP top 10 und sans 25 reichen nicht, da überwiegend<br />
Web-spezifisch und auf aBaP kaum anwendbar)<br />
> 4-augen-Prinzip bei ausnahmen