TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA nimmt einen Vergleich vor.
Zwar helfen Software Development Kits bei der Entwicklung von Apps, sie unterstützen jedoch Sicherheitsanforderungen nicht immer ausreichend. Aber auch manche darauf spezialisierte Expertensysteme werden nicht alle den professionellen Ansprüchen gerecht. Thomas Doms von der TÜV TRUST IT GmbH Unternehmensgruppe AUSTRIA hat deshalb einen Vergleich dieser Expertensysteme vorgenommen.
Zwar stellen alle Anbieter von Betriebssystemen für die App-Entwicklung über kostenlose Software Development Kits (SDK) eine Sammlung von Werkzeugen und Anwendungen zur Verfügung, mit denen sich native Applikationen für die jeweilige Plattform entwickeln lassen. Allerdings sind die Themenbereiche Datensicherheit und Datenschutz in diesen SDKs in der Regel für professionelle Anwender nicht genügend und in der nötigen Detailtiefe berücksichtigt. Deshalb stehen die Entwickler vor der Frage, wie sie zu den notwendigen und richtigen Informationen gelangen können. Hierfür bieten sich grundsätzlich drei Möglichkeiten an.
Die Variante mit dem geringsten Professionalisierungsgrad aber größter Verbreitung ist der autodidaktische Weg, bei dem über eigene Recherchen im Internet oder Handbüchern Know how aufgebaut wird. Das Problem hierbei ist jedoch, valide Quellen im Internet zu finden und das Wissen aktuell zu halten. Außerdem besteht erfahrungsgemäß eine große Schwierigkeit darin, aus der Fülle der recherchierbaren Inhalte die relevanten Informationen zu selektieren und zusätzlich dedizierte Hinweise für die richtige Implementierung im spezifischen Projekt herauszufiltern.
Eine zweite Variante besteht in der Nutzung von einfachen Expertensystemen. Meist handelt es sich dabei um Checklisten, Whitepapers und ähnliche Dokumente, die zum Download bereitgestellt werden. Sie enthalten generische Maßnahmen und Hinweise für die Absicherung von Apps. Diese Angebote sind zumeist kostenfrei. Ihre Begrenzung besteht jedoch darin, dass sie primär der Aneignung von Basiswissen zu sicherer App-Entwicklung dienen. Trotzdem werden sie häufig auch bei professionellen Anforderungen genutzt. Dabei besitzen sie für die Begleitung von Projekten mit spezifischen Risikopotentialen, wozu beispielsweise die Verarbeitung besonders sensibler Daten, personenbezogener Daten oder eine sichere Kommunikation mit Backend-Systemen gehören, nicht die notwendige Detailtiefe.
Kontextspezifische Expertensysteme hingegen erzeugen ausgerichtet an den definierten Funktionalitäten einer zu entwickelnden App und ihren kontextabhängigen Rahmenbedingungen eine spezifische Sicherheitsrichtlinie für dieses Projekt. Darin sind alle bekannten Bedrohungen, übergeordnete generische Sicherungsmaßnahmen und plattformspezifische Implementierungshinweise enthalten. Außerdem verfügen diese Expertensysteme in der Regel über konkrete Code-Beispiele als Best Practices, die durch ein einfaches Paste-and-copy für die Entwicklung genutzt werden können.
Der entscheidende Vorteil dieser ausgefeilten Expertensysteme liegt neben der größeren Detailtiefe und dem größeren Umfang der Hinweise auch darin, dass durch ihren methodischen Ansatz handhabbare, schlanke Vorgabedokumente entstehen. Sie beschreiben nur die für das spezifische Projekt notwendigen und relevanten Maßnahmen statt ein umfangreiches Gesamtkompendium für die App-Entwicklung zu liefern, welches alle Bedrohungen und Risiken für Apps beschreibt. Durch das gelieferte Know-how mit den kontinuierlich aktualisierten Informationen sind solche Expertensysteme jedoch nicht kostenfrei.