TRINIDAT-WIKI
Ist eine individuell programmierte Webanwendung sicher?
Wie Ihre Web-App rechtssicher programmiert wird
Effektiv, schnell und komfortabel: Individuell programmierte Webanwendungen lösen mehr und mehr Desktop-Software-Lösungen ab. Doch bei der Sicherheit für Daten und Nutzer zeigen sich oft große Wissenslücken. Wie schütze ich die Webanwendung gegen Hackerangriffe und welche Datenschutzregeln muss ich beachten?
Ob Prozesssteuerung oder Datenverwaltung: Immer mehr Unternehmen setzen auf browserbasierte Software-Lösungen. Die Vorteile von Webanwendungen liegen auf der Hand: schnell und von überall erreichbar können Nutzer plattform- und geräteunabhängig arbeiten. Doch wie steht es um die Sicherheit für Daten und Anwender der Software? Damit die Online-App nur von berechtigten Nutzern angewendet wird, benötigt sie einen funktionierenden und vor allem absolut sicheren Zugriffsschutz.
Hinweis: Wir als Software-Unternehmen dürfen keine Rechtsberatung durchführen. Falls Sie Fragen zu rechtlichen Themen haben oder Sie Rechtsberatung benötigen, wenden Sie sich bitte an einen Rechtsanwalt. Der folgende Beitrag konzentriert sich auf die Aspekte, die bei der Programmierung einer Webanwendung zu berücksichtigen sind.
Schützen Sie Ihre Software vor unberechtigten Zugriffen
123456 oder schlicht Passwort: Die erste und bekannteste Form des Zugriffschutzes einer Webanwendung ist das gute alte Passwort – das häufig nicht angriffssicher gewählt ist. Sichere Anwendungen fordern neue Nutzer dazu auf, einen Benutzernamen zu wählen und ein Passwort festzulegen. Empfehlenswert ist es, Mindestanforderungen an das gewählte Passwort zu setzen sowie eine automatische Sperrung nach drei Fehlversuchen zu programmieren. Mit der vergebenen Benutzerrolle wird dann der Umfang der Rechte und die verfügbaren Programmfunktionen festgelegt.
trinidat-Sicherheitstipp: Administratoren der Web-Applikation sollten niemals Passwörter per Mail versenden, sondern immer einen Link zu einer Passwort-Ändern-Seite verschicken. Für eine besonders sichere Webanwendung kann zusätzlich zum Login per Passwort und Username auch eine Zwei-Faktor-Authentifizierung hinzugefügt werden. Dabei wird ein zusätzlicher Code für die Anmeldung an ein weiteres Gerät, z.B. das Smartphone des Benutzers, generiert.
Achtung vor Sniffern und dem „Man in the Middle“
Ein weiterer wichtiger Aspekt für eine sichere Online-Software ist die Verschlüsselung der Datenübertragung zwischen dem Browser des Nutzers und dem Webserver. In der Regel werden Daten im Internet über sogenannte Backbone-Server unverschlüsselt übertragen. Die Gefahr: Unberechtigte Personen können sich Zugriff zu einem Backbone-Server verschaffen und Datenverkehr abgreifen – oft nutzen Cyber-Kriminelle dafür sogenannte Sniffer, wie etwa die Software Wireshark. Besonders perfide sind sogenannte Man in the Middle-Angriffe, bei der sich der Angreifer logisch zwischen den Nutzer und den verwendeten Servern platziert und so in der Lage ist, Daten nicht nur abzufangen, sondern auch mitzulesen oder sogar zu manipulieren.
Mit einer Ende-zu-Ende-Verschlüsselung wird der Datentransfer vor unbefugtem Mitlesen geschützt. Gängig ist die Verschlüsselung via HTTPS (Hypertext Transfer Protocol Secure). Über HTTPS verschickte Daten werden vom TLS (Transport Layer Security Protokoll) geschützt. Früher auch als SSL bezeichnet, verschlüsselt ein TLS-Protokoll den Datentransfer abfangsicher. Es sorgt auch dafür, dass Daten nicht unbemerkt verändert oder beschädigt werden können. Zudem schützt eine Nutzer-Authentifizierung vor Man in the Middle-Attacken.
Kontaktieren Sie uns noch heute...
… und starten Sie die Digitalisierung Ihrer Prozesse und Produkte mit einem ersten, kostenlosen Beratungsgespräch.
Diese Punkte sollten Sie beachten
Eine Webanwendung muss einige rechtliche Anforderungen erfüllen. Vor allem kommt es auf den Datenschutz an. Die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) gelten auch für Online-Software. Die DSGVO ist eine EU-Verordnung, die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht. Ziel der DSGVO ist unter anderem der Schutz privater und öffentlicher personenbezogener Daten.
Damit die individuell programmierte Webanwendung DSGVO-konform ist, müssen die in der Verordnung gesetzten Rechte berücksichtigt werden. Darunter fällt zum Beispiel das Recht auf Auskunft, Berichtigung und Löschung von personenbezogenen Daten.
Für die Web-Applikation ergeben sich daraus verschiedene Anforderungen.
Eine sichere individuell programmierte Webanwendung:
- benötigt ein Impressum sowie einen Verweis auf die Datenschutzrichtlinie und die Nutzungsbestimmungen. User müssen den aktuellen Nutzungsbedingungen zustimmen. Dies sollte zum Beispiel in einer Datenbank protokolliert werden,
- sollte dem Nutzer die Wahl lassen, Cookies zuzustimmen oder auf die Nutzung zu verzichten,
- benötigt Programmfunktionen, die das Löschen von personenbezogenen Daten auf Anforderung des Nutzers und das automatische Löschen nicht mehr benötigter Daten ermöglichen,
- gibt Auskunft über die zu einer Person gespeicherten Daten.
Können Webanwendungen wirklich alle Anforderungen erfüllen?
Die gute Nachricht vorweg: Ja, viele der webbasierten Softwares haben bereits voreingestellte Basisfunktionen, die etwa für das Recht auf Auskunft über personenbezogene Daten genutzt werden können. Hier genügen für die Einhaltung der meisten Datenschutz-Anforderungen Programmfunktionen, die für die regelmäßige Arbeit mit der Anwendung bereits vorinstalliert sind. Mit einer integrierten Suchfunktion lassen sich Nutzerdaten aufrufen und verarbeiten.
Ein großer Vorteil einer individuell programmierten Webanwendung: Je nach Ausgestaltung der Webanwendung können spezielle Funktionen programmiert werden. Falls die Anwendung mit besonders sensiblen Daten arbeitet, können Dienstleister wie trinidat je nach Kundenwunsch beispielsweise den Zugriffschutz verstärken.
Ihre Webanwendung: Individuell und sicher
Gute Webanwendungen benötigen einen effektiven Zugriffsschutz und müssen eine Reihe von rechtlichen Anforderungen, etwa beim Datenschutz, erfüllen. Damit Ihre Online-Software für Anbieter und Nutzer jederzeit sicher ist, bieten erfahrene Dienstleister individuelle Beratung über die passenden Funktionalitäten der Anwendung an. Bei TriniDat legen wir höchsten Wert darauf, Ihnen genau die Programmfunktionen zu erstellen, die Ihre Web-Software garantiert sicher macht.
Auf der Suche nach einer individuellen Webanwendung?
Wir sind Spezialisten für die Entwicklung von individuell programmierten Webanwendungen. Gerne beraten wir Sie in einem kostenlosen und unverbindlichen Erstgespräch.