zwei Faktor Authentifizierung zur IT-Sicherheit: Frau mit Handy vor laptop

© Porapak Apichodilok by pexels

Ratgeber

Muster: Onlineanwendung & IT-Sicherheit

Onlineanwendungen sind Anwendungen, die über das Internet in einem Webbrowser ausgeführt werden.

Aber ihre Verfügbarkeit im öffentlichen Internet macht sie potenziell verwundbar. Deshalb ist die IT-Sicherheit von Onlineanwendungen wichtig. Hier erhalten Sie Einblicke in Sicherheitspraktiken für Webanwendungen und eine hilfreiche Muster-Vorlage, mit der Sie die Mindest-IT-Sicherheit Ihrer eigenen Onlineanwendungen einschätzen können.

Inhalt

Was sind Onlineanwendungen (Webanwendungen, Web-Apps)?

Onlineanwendungen, oft auch als Webanwendungen oder Web-Apps bezeichnet, sind Anwendungen, die über das Internet in einem Webbrowser ausgeführt werden. Sie unterscheiden sich von traditionellen Desktop-Anwendungen, die direkt auf einem Computer installiert und ausgeführt werden. Stattdessen sind Webanwendungen meist auf einem Server gehostet und können von jedem Computer oder Gerät mit Internetzugang und einem Webbrowser erreicht werden.

Beispiele für Onlineanwendungen sind:

  • Zeiterfassungs- und HR-Onlineanwendungen
  • Online-E-Mail-Dienste
  • Cloud-Speicherdienste
  • Social Media Plattformen
  • Online-Banking
  • E-Commerce-Websites
  • Streaming-Dienste
  • Individuell für Branchenanforderungen hergestellte Onlineanwendungen
  • Vollautomatisch im Hintergrund über Schnittstellen laufende Datenverarbeitung

Kategorien für Onlineanwendungen

Im Zusammenhang mit Onlineanwendungen werden oft folgende Kategoriebegriffe verwendet:

  • Software as a Service (SaaS):
    Diese Anwendungen werden über das Internet bereitgestellt und z. B. auf Abonnementbasis genutzt. Beispiele sind Online-Mailer oder Datenaustauschplattformen.
  • Plattform as a Service (PaaS):
    Diese Art von Onlineanwendung bietet eine Plattform, auf der Entwickler ihre eigenen Anwendungen erstellen und ausführen können. Beispiele sind Cloudangebote, auf denen Software installiert werden kann.
  • Infrastruktur as a Service (IaaS):
    Diese Anwendungen stellen Infrastruktur wie Server, Speicher und Netzwerkkomponenten zur Verfügung. Beispiele sind Angebote, die Ressourcen wie z. B. virtuelle Maschinen, Speicher etc. skalierbar anbieten.

Zurück zur Übersicht

Vor- und Nachteile von Onlineanwendungen

Vorteile von Onlineanwendungen:

Onlineanwendungen haben eine Reihe von Vorteilen gegenüber traditioneller Software, die auf dem Computer des Benutzers installiert werden muss:

  • Kosteneffizienz:
    Viele Onlineanwendungen werden auf Abonnementbasis angeboten, was bedeutet, dass Unternehmen nur für die Dienste zahlen, die sie tatsächlich nutzen. Darüber hinaus entfallen Kosten für die Installation und Wartung von Software auf firmeneigenen Servern.
  • Skalierbarkeit:
    Onlineanwendungen sind in der Regel leicht skalierbar, sodass Unternehmen Dienste nach Bedarf hinzufügen oder entfernen können. Dies ist besonders nützlich für wachsende Unternehmen.
  • Zugänglichkeit:
    Da Onlineanwendungen über das Internet zugänglich sind, können sie von überall und von jedem Gerät aus genutzt werden, das über einen Webbrowser verfügt. Dies ist besonders nützlich für Unternehmen mit entfernten Mitarbeitern oder Teams, die an unterschiedlichen Standorten arbeiten.
  • Updates:
    Anbieter von Onlineanwendungen führen regelmäßig Updates durch, um Funktionen zu verbessern und Sicherheitslücken zu schließen. Diese Updates werden automatisch und ohne zusätzlichen Aufwand für das Unternehmen durchgeführt.
  • Kollaboration:
    Viele Onlineanwendungen bieten Funktionen für die Zusammenarbeit, die es Teams ermöglichen, in Echtzeit an Dokumenten und Projekten zu arbeiten.
  • Datensicherheit:
    Anbieter von Onlineanwendungen implementieren in der Regel starke Sicherheitsmaßnahmen, einschließlich Verschlüsselung und Zwei-Faktor-Authentifizierung, um die Daten der Kunden zu schützen. In einigen Fällen kann dies sicherer sein als die Speicherung von Daten auf eigenen Servern, insbesondere wenn das Unternehmen nicht über ausreichende IT-Sicherheitsressourcen verfügt.
  • Business Continuity:
    Viele Onlineanwendungen bieten automatische Backups und Wiederherstellungsdienste an, was bei eventuellen Datenverlusten von großem Vorteil sein kann.

Nachteile von Onlineanwendungen:

  • Abhängigkeit von der Internetverbindung:
    Da Onlineanwendungen auf einem Server im Internet gehostet werden, sind sie von einer stabilen und schnellen Internetverbindung abhängig. Wenn das Internet ausfällt oder die Verbindungsgeschwindigkeit langsam ist, kann das zu Unterbrechungen im Geschäftsbetrieb führen.
  • Datenschutz und Datensicherheit:
    Da Ihre Daten auf den Servern des Anbieters gespeichert werden, hängt die Sicherheit Ihrer Daten von den Sicherheitsmaßnahmen des Anbieters ab. Wenn diese nicht ausreichend sind, können Ihre Daten einem Risiko ausgesetzt sein.
  • Möglicher Mangel an Kontrolle und Anpassungsfähigkeit:
    Mit Onlineanwendungen haben Sie möglicherweise weniger Kontrolle über die Software und ihre Funktionalität. Viele Onlineanwendungen bieten eine Reihe von Standardfunktionen an, aber es kann schwierig oder sogar unmöglich sein, spezifische Funktionen oder Anpassungen hinzuzufügen, die Ihr Unternehmen benötigen könnte.
  • Wiederkehrende Kosten:
    Viele Onlineanwendungen verwenden ein Abonnementmodell, das wiederkehrende monatliche oder jährliche Kosten verursacht. Obwohl die anfänglichen Kosten oft niedriger sind als bei herkömmlicher Software, können die Gesamtkosten über die Zeit höher sein.
  • Abhängigkeit von Drittanbietern:
    Bei der Nutzung von Onlineanwendungen sind Sie auf den Anbieter angewiesen. Wenn der Anbieter seinen Service einstellt oder seine Geschäftsbedingungen ändert, könnte dies Ihr Unternehmen beeinträchtigen.
  • Kompatibilität:
    Während die meisten Webanwendungen mit allen gängigen Browsern kompatibel sind, gibt es doch manchmal Fälle, in denen bestimmte Anwendungen nicht mit allen Browsern oder Betriebssystemen kompatibel sind.

Zurück zur Übersicht

Wie kann man prüfen, ob eine Onlineanwendung sicher ist?

Zur Prüfung einer Onlineanwendung ist einerseits die Onlinanwendung selbst zur Begutachtung verfügbar. Andererseits, da in den meisten Fällen personenbezogene Daten verarbeitet werden, sollten seitens des Anbieters weitere Unterlagen bereit stehen, die eine Verfahrensbeschreibung im Rahmen der Datenschutz-Grundverordnung (DSGVO) ermöglichen.

Insbesondere sind "Technische und organisatorische Maßnahmen (TOMs)" Teil einer Verfahrensbeschreibung. Ggf. fragen Sie beim Anbieter der Onlinineanwendung nach, ob er TOMs zur Verfügung stellen kann.

Damit die Wahrscheinlichkeit für IT-Sicherheitsprobleme mit einer Onlineanwendung möglichst gering sind, können Anbieter und Anwender auf eine Reihe von Merkmalen achten:

  • Organisatorische Maßnahmen des Anbieters
    Wie geht der Anbieter der Onlineanwendung selbst mit IT-Sicherheit um? Liegen Zertifizierungen vor? Werden seine Mitarbeiter geschult und zur Einhaltung von Richtlinien verpflichtet?
  • Vertraulichkeit:
    Wie steht es um die Zutrittskontrolle im Rechenzentrum? Wie um die Zugangskontrolle zur Onlineanwendung (Passwörter, Zwei-Faktor-Authentifizierung, Logging...)? Wie um die Zugriffskontrolle im Büro des Anbieters? Wie erfolgt die Datentrennung und der einsatz von Verschlüsselung?
  • Integrität:
    Wird mit Weitergabe- , Eingabe- und Verarbeitungskontrolle gewährleistet, dass Daten sicher erstellt, transportiert und gespeichert werden?
  • Verfügbarkeit:
    Mit welcher Redundanz und Verfügbarkeit wird der im Rechenzentrum gewählte Tarif betrieben? Wie wird die Software der Onlineanwendung erstellt, verbessert und upgedateted? Wie wird mit Problemen umgegangen?
  • Belastbarkeit:
    Wie steht es um die redundante Systemauslegung, ein Ausfallsicherheitskonzept und den Umgang mit Angriffen wie DDoS?

Zurück zur Übersicht

Muster-Vorlagen: BayLDA, BSI, IHK, VDMA

Es gibt eine Reihe von Muster-Vorlagen, die man heranziehen kann für die Einschätzung, ob eine Onlineanwendung Mindestanforderungen der IT-Sicherheit erfüllt.

Zurück zur Übersicht

IHK-Muster-Vorlagen: IT-Sicherheits-Mindestanforderungen einer Onlineanwendung

Für die Auswahl nutzt die IHK München und Oberbayern selbst entwickelte Muster-Vorlagen, die wir hier als Muster zur Verfügung stellen.

Anpassen des Fragebogens

Je nach vorliegender Onlineanwendung können die Fragen, Pflichtanfordeurngen, Punktevergaben etc. ggf. angepasst werden. Z. B. kann aus den oben genannten, deutlich umfangreicheren Fragenkatalogen ergänzt werden.

Ausfüllen des Fragebogens

Entweder der Anbieter der Onlineanwendung (z. B. als Teil der Vergabeunterlagen) oder das Anwender-Unternehmen selbst kann den Fragebogen ausfüllen und hinterfragen, ob die Mindestanfordeurngen zur IT-Sicherheit erfüllt werden.

Ergebnis, Fazit

Der Fragebogen gibt einen ersten Überblick zur IT-Sicherheit der Onlineanwendung. Ggf. kann dies durch technische Test überprüft werden, so dass nicht nur nach "Aktenlage" bzw. "Selbstauskunft" eine Bewertung entsteht.

Wenn deutliche Schwachpunkte erkennbar sind, sollten diese in die Gesamtentscheidung, ob die Onlineanwendung engesetzt wird einfließen.

IHK-Muster

Bitte beachten Sie für die Verwendung der hier bereit gestellten Muster Folgendes:

  • Die Muster wurden mit größter Sorgfalt erstellt, erheben aber keinen Anspruch auf Vollständigkeit und Richtigkeit.
  • Die Muster sind als Formulierungshilfen zu verstehen und sollen nur eine Anregung bieten, wie die eigene Aktivität zur IT-Sicherheit sachgerecht gestaltet werden kann. Dies entbindet Sie jedoch nicht von der sorgfältigen eigenverantwortlichen Prüfung.
  • Die Muster sind nur Vorschläge für eine mögliche Gestaltung. Sie können auch andere Formulierungen wählen. Vor einer Übernahme des unveränderten Inhaltes muss daher im eigenen Interesse genau überlegt werden, ob und in welchen Teilen gegebenenfalls eine Anpassung an die konkret zu gestaltende Situation erforderlich ist.
  • Auf diesen Vorgang hat die Industrie- und Handelskammer keinen Einfluss und kann daher naturgemäß für die Auswirkungen auf keine Haftung übernehmen. Auch die Haftung für leichte Fahrlässigkeit ist grundsätzlich ausgeschlossen.

Um die Muster weiter zu verbessern sind wir für Anmerkungen und Verbesserungsvorschläge sehr dankbar.

Zurück zur Übersicht

Die IHK für München und Oberbayern ist regionaler Partner der Transferstelle Cybersicherheit im Mittelstand

regionaler_partner_cybersicher_4fs

BIHK-Webinarreihe "IT-Sicherheit - praktisch gemacht"

27.09.23, 11 -12 Uhr: "Optimale Sicherheit für Cloud- und Onlineanwendungen: Webinar zur Überprüfung von IT-Sicherheitsstandards"

IHK-BugBounty-Programm

Hinweise auf Schwachstellen: IHK-BugBounty-Programm
Indications of Vulnerabilities: CCI BugBounty Program (IHK-BugBounty Programm)

IHK Videos

Cyber-Angriff auf einen bayerischen Mittelständler im Gesundheitswesen (YouTube)
IT-Notfall: Wie vorbereiten? Was tun im Ernstfall? (YouTube)
IT-Sicherheit im Homeoffice- sicher zu Hause arbeiten (YouTube)
Cybercrime - Phänomene, Szenarien & Schutzmöglichkeiten (YouTube)

IHK Ratgeber

Datenschutz im Unternehmen

IHK Position

IT-Sicherheit für Unternehmen - Grundlage der Digitalisierung

IHK Newsletter

Anmeldung zum IHK Digitalisierungs-Newsletter