Muster: Onlineanwendung & IT-Sicherheit

• Was sind Onlineanwendungen?
• Vor- und Nachteile von Onlineanwendungen
• Wie kann man prüfen, ob eine Onlineanwendung sicher ist?
• Muster-Vorlagen: BayLDA, BSI, IHK
• IHK-Muster-Vorlagen: IT-Sicherheits-Mindestanforderungen einer Onlineanwendung

Onlineanwendungen, oft auch als Webanwendungen oder Web-Apps bezeichnet, sind Anwendungen, die über das Internet in einem Webbrowser ausgeführt werden. Sie unterscheiden sich von traditionellen Desktop-Anwendungen, die direkt auf einem Computer installiert und ausgeführt werden. Stattdessen sind Webanwendungen meist auf einem Server gehostet und können von jedem Computer oder Gerät mit Internetzugang und einem Webbrowser erreicht werden.

Beispiele für Onlineanwendungen sind:

• Zeiterfassungs- und HR-Onlineanwendungen
• Online-E-Mail-Dienste
• Cloud-Speicherdienste
• Social Media Plattformen
• Online-Banking
• E-Commerce-Websites
• Streaming-Dienste
• Individuell für Branchenanforderungen hergestellte Onlineanwendungen
• Vollautomatisch im Hintergrund über Schnittstellen laufende Datenverarbeitung

Kategorien für Onlineanwendungen

Im Zusammenhang mit Onlineanwendungen werden oft folgende Kategoriebegriffe verwendet:

• Software as a Service (SaaS):
  Diese Anwendungen werden über das Internet bereitgestellt und z. B. auf Abonnementbasis genutzt. Beispiele sind Online-Mailer oder Datenaustauschplattformen.
• Plattform as a Service (PaaS):
  Diese Art von Onlineanwendung bietet eine Plattform, auf der Entwickler ihre eigenen Anwendungen erstellen und ausführen können. Beispiele sind Cloudangebote, auf denen Software installiert werden kann.
• Infrastruktur as a Service (IaaS):
  Diese Anwendungen stellen Infrastruktur wie Server, Speicher und Netzwerkkomponenten zur Verfügung. Beispiele sind Angebote, die Ressourcen wie z. B. virtuelle Maschinen, Speicher etc. skalierbar anbieten.

Zurück zur Übersicht

Vorteile von Onlineanwendungen:

Onlineanwendungen haben eine Reihe von Vorteilen gegenüber traditioneller Software, die auf dem Computer des Benutzers installiert werden muss:

• Kosteneffizienz:
  Viele Onlineanwendungen werden auf Abonnementbasis angeboten, was bedeutet, dass Unternehmen nur für die Dienste zahlen, die sie tatsächlich nutzen. Darüber hinaus entfallen Kosten für die Installation und Wartung von Software auf firmeneigenen Servern.
• Skalierbarkeit:
  Onlineanwendungen sind in der Regel leicht skalierbar, sodass Unternehmen Dienste nach Bedarf hinzufügen oder entfernen können. Dies ist besonders nützlich für wachsende Unternehmen.
• Zugänglichkeit:
  Da Onlineanwendungen über das Internet zugänglich sind, können sie von überall und von jedem Gerät aus genutzt werden, das über einen Webbrowser verfügt. Dies ist besonders nützlich für Unternehmen mit entfernten Mitarbeitern oder Teams, die an unterschiedlichen Standorten arbeiten.
• Updates:
  Anbieter von Onlineanwendungen führen regelmäßig Updates durch, um Funktionen zu verbessern und Sicherheitslücken zu schließen. Diese Updates werden automatisch und ohne zusätzlichen Aufwand für das Unternehmen durchgeführt.
• Kollaboration:
  Viele Onlineanwendungen bieten Funktionen für die Zusammenarbeit, die es Teams ermöglichen, in Echtzeit an Dokumenten und Projekten zu arbeiten.
• Datensicherheit:
  Anbieter von Onlineanwendungen implementieren in der Regel starke Sicherheitsmaßnahmen, einschließlich Verschlüsselung und Zwei-Faktor-Authentifizierung, um die Daten der Kunden zu schützen. In einigen Fällen kann dies sicherer sein als die Speicherung von Daten auf eigenen Servern, insbesondere wenn das Unternehmen nicht über ausreichende IT-Sicherheitsressourcen verfügt.
• Business Continuity:
  Viele Onlineanwendungen bieten automatische Backups und Wiederherstellungsdienste an, was bei eventuellen Datenverlusten von großem Vorteil sein kann.

Nachteile von Onlineanwendungen:

• Abhängigkeit von der Internetverbindung:
  Da Onlineanwendungen auf einem Server im Internet gehostet werden, sind sie von einer stabilen und schnellen Internetverbindung abhängig. Wenn das Internet ausfällt oder die Verbindungsgeschwindigkeit langsam ist, kann das zu Unterbrechungen im Geschäftsbetrieb führen.
• Datenschutz und Datensicherheit:
  Da Ihre Daten auf den Servern des Anbieters gespeichert werden, hängt die Sicherheit Ihrer Daten von den Sicherheitsmaßnahmen des Anbieters ab. Wenn diese nicht ausreichend sind, können Ihre Daten einem Risiko ausgesetzt sein.
• Möglicher Mangel an Kontrolle und Anpassungsfähigkeit:
  Mit Onlineanwendungen haben Sie möglicherweise weniger Kontrolle über die Software und ihre Funktionalität. Viele Onlineanwendungen bieten eine Reihe von Standardfunktionen an, aber es kann schwierig oder sogar unmöglich sein, spezifische Funktionen oder Anpassungen hinzuzufügen, die Ihr Unternehmen benötigen könnte.
• Wiederkehrende Kosten:
  Viele Onlineanwendungen verwenden ein Abonnementmodell, das wiederkehrende monatliche oder jährliche Kosten verursacht. Obwohl die anfänglichen Kosten oft niedriger sind als bei herkömmlicher Software, können die Gesamtkosten über die Zeit höher sein.
• Abhängigkeit von Drittanbietern:
  Bei der Nutzung von Onlineanwendungen sind Sie auf den Anbieter angewiesen. Wenn der Anbieter seinen Service einstellt oder seine Geschäftsbedingungen ändert, könnte dies Ihr Unternehmen beeinträchtigen.
• Kompatibilität:
  Während die meisten Webanwendungen mit allen gängigen Browsern kompatibel sind, gibt es doch manchmal Fälle, in denen bestimmte Anwendungen nicht mit allen Browsern oder Betriebssystemen kompatibel sind.

Zurück zur Übersicht

Zur Prüfung einer Onlineanwendung ist einerseits die Onlinanwendung selbst zur Begutachtung verfügbar. Andererseits, da in den meisten Fällen personenbezogene Daten verarbeitet werden, sollten seitens des Anbieters weitere Unterlagen bereit stehen, die eine Verfahrensbeschreibung im Rahmen der Datenschutz-Grundverordnung (DSGVO) ermöglichen.

Insbesondere sind "Technische und organisatorische Maßnahmen (TOMs)" Teil einer Verfahrensbeschreibung. Ggf. fragen Sie beim Anbieter der Onlinineanwendung nach, ob er TOMs zur Verfügung stellen kann.

Damit die Wahrscheinlichkeit für IT-Sicherheitsprobleme mit einer Onlineanwendung möglichst gering sind, können Anbieter und Anwender auf eine Reihe von Merkmalen achten:

• Organisatorische Maßnahmen des Anbieters
  Wie geht der Anbieter der Onlineanwendung selbst mit IT-Sicherheit um? Liegen Zertifizierungen vor? Werden seine Mitarbeiter geschult und zur Einhaltung von Richtlinien verpflichtet?
• Vertraulichkeit:
  Wie steht es um die Zutrittskontrolle im Rechenzentrum? Wie um die Zugangskontrolle zur Onlineanwendung (Passwörter, Zwei-Faktor-Authentifizierung, Logging...)? Wie um die Zugriffskontrolle im Büro des Anbieters? Wie erfolgt die Datentrennung und der einsatz von Verschlüsselung?
• Integrität:
  Wird mit Weitergabe- , Eingabe- und Verarbeitungskontrolle gewährleistet, dass Daten sicher erstellt, transportiert und gespeichert werden?
• Verfügbarkeit:
  Mit welcher Redundanz und Verfügbarkeit wird der im Rechenzentrum gewählte Tarif betrieben? Wie wird die Software der Onlineanwendung erstellt, verbessert und upgedateted? Wie wird mit Problemen umgegangen?
• Belastbarkeit:
  Wie steht es um die redundante Systemauslegung, ein Ausfallsicherheitskonzept und den Umgang mit Angriffen wie DDoS?

Zurück zur Übersicht

Es gibt eine Reihe von Muster-Vorlagen, die man heranziehen kann für die Einschätzung, ob eine Onlineanwendung Mindestanforderungen der IT-Sicherheit erfüllt.

• Bayerisches Landesamt für Datenschutzaufsicht:
  Good Practice bei technischen und organisatorischen Maßnahmen Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit
  8seitige Vorlage, die nicht nur für Onlineanwendungen herangezogen werden kann.
• Bundesamt für Sicherheit in der Informationstechnik (BSI): Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.
• Technische Aspekte können mit "OWASP" geprüft werden.
• Die IHK für München und Oberbayern setzt bei der Prüfung bzw. Vergabe von Onlineanwendungen mitunter einen selbst entwickelten Fragebogen ein, der für die wesentlichen Punkte abprüft.

Zurück zur Übersicht

Für die Auswahl nutzt die IHK München und Oberbayern selbst entwickelte Muster-Vorlagen, die wir hier als Muster zur Verfügung stellen.

Anpassen des Fragebogens

Je nach vorliegender Onlineanwendung können die Fragen, Pflichtanfordeurngen, Punktevergaben etc. ggf. angepasst werden. Z. B. kann aus den oben genannten, deutlich umfangreicheren Fragenkatalogen ergänzt werden.

Ausfüllen des Fragebogens

Entweder der Anbieter der Onlineanwendung (z. B. als Teil der Vergabeunterlagen) oder das Anwender-Unternehmen selbst kann den Fragebogen ausfüllen und hinterfragen, ob die Mindestanfordeurngen zur IT-Sicherheit erfüllt werden.

Ergebnis, Fazit

Der Fragebogen gibt einen ersten Überblick zur IT-Sicherheit der Onlineanwendung. Ggf. kann dies durch technische Test überprüft werden, so dass nicht nur nach "Aktenlage" bzw. "Selbstauskunft" eine Bewertung entsteht.

Wenn deutliche Schwachpunkte erkennbar sind, sollten diese in die Gesamtentscheidung, ob die Onlineanwendung engesetzt wird einfließen.

IHK-Muster

• Mindestanforderung IT-Sicherheit Onlineanwendung, Version 1.05
  Word-Dokument mit grundsätzlichen Fragen zu
  - Organisatorischen Maßnahmen des Anbieters
  - Vertraulichkeit
  - Integrität
  - Verfügbarkeit
  - Belastbarkeit
  
• Vergabe - Mindestanforderung IT-Sicherheit Onlineanwendung, Version 1.05
  Im Unterschied zum ersten Muster wird hier explizit auf die Notwendigkeit des Erreichens einer Mindestpunktzahl und der Erfüllung von Pflichtanforderungen verwiesen, da ansonsten die Einreichung bei der Vergabe nicht berücksichtigt wird.
  

Bitte beachten Sie für die Verwendung der hier bereit gestellten Muster Folgendes:

• Die Muster wurden mit größter Sorgfalt erstellt, erheben aber keinen Anspruch auf Vollständigkeit und Richtigkeit.
• Die Muster sind als Formulierungshilfen zu verstehen und sollen nur eine Anregung bieten, wie die eigene Aktivität zur IT-Sicherheit sachgerecht gestaltet werden kann. Dies entbindet Sie jedoch nicht von der sorgfältigen eigenverantwortlichen Prüfung.
• Die Muster sind nur Vorschläge für eine mögliche Gestaltung. Sie können auch andere Formulierungen wählen. Vor einer Übernahme des unveränderten Inhaltes muss daher im eigenen Interesse genau überlegt werden, ob und in welchen Teilen gegebenenfalls eine Anpassung an die konkret zu gestaltende Situation erforderlich ist.
• Auf diesen Vorgang hat die Industrie- und Handelskammer keinen Einfluss und kann daher naturgemäß für die Auswirkungen auf keine Haftung übernehmen. Auch die Haftung für leichte Fahrlässigkeit ist grundsätzlich ausgeschlossen.

Um die Muster weiter zu verbessern sind wir für Anmerkungen und Verbesserungsvorschläge sehr dankbar.

• Bitte schicken Sie diese an Bernhard Kux.

Zurück zur Übersicht