Applikationen werden heute meist in Form von Webanwendungen entwickelt. Sicherheitsspezifische Vorgaben bzgl. Konzeption, Umsetzung und Betrieb werden dabei teilweise mit der Ausschreibung veröffentlicht, teilweise aber auch erst im Rahmen des Projekts erarbeitet. Dies führt dazu, dass Webanwendungen immer wieder mit Schwachstellen behaftet sind, die für unterschiedliche Angriffe ausgenutzt werden können.
Mit dem Leitfaden zur Entwicklung sicherer Webanwendungen bietet das BSI in Zusammenarbeit mit SEC Consult eine Lösung für diese Problematik. Durch einheitliche, fundierte Vorgaben für die sichere Entwicklung in Kombination mit einer strukturierten Vorgehensweise für das Testen und die Abnahme der Software ist es möglich, das Niveau der IT-Sicherheit in der Bundesverwaltung und darüber hinaus deutlich zu optimieren. IT-Verantwortlichen und Projektleitern aus öffentlichen Einrichtungen sowie aus der Industrie wird hierdurch ein Leitfaden zur Seite gestellt, der als Hilfsmittel für die Erstellung von Verdingungsunterlagen oder die Festschreibung von Leistungs- sowie Abnahmekriterien dienen kann und somit den gesamten Vergabeprozess unterstützt.
Die Studie gliedert sich in zwei Teile. Im ersten werden Anforderungen an den Auftragnehmer definiert. Im zweiten Teil bekommt der Auftraggeber einen Leitfaden, wie die Einhaltung dieser Anforderungen geprüft werden kann.
Die in diesem Leitfaden enthaltenen Empfehlungen haben keinen verbindlichen Charakter. Sie sollten vielmehr als Rahmenwerk verstanden und an die Rahmenbedingungen und Anforderungen der eigenen Organisation angepasst werden. Dies ermöglicht die Definition individueller Vorgaben, um bedarfsgerecht Anwendungen zu entwickeln, die den heutigen Herausforderungen der Cyber-Sicherheit gerecht werden.
Den Leitfaden für Auftragnehmer finden Sie an dieser Stelle.