Häufig setzen Organisationen Informationssysteme ein, die nach dem Client/ServerKooperationsparadigma konzipiert sind und den Mitgliedern einer geschlossenen Benutzergruppe Fernzugriffe auf schützenswerte Daten erlauben. Die Umsetzung von Sicherheitsaspekten ist bei den dazu eingesetzten Serverprogrammen unerläßlich, um die Schutzziele des Betreibers berechtigten Nutzern und Dritten gegenüber durchzusetzen. Derzeit gestaltet sich jedoch die Abbildung der abstrakten Sicherheitsinteressen der Betreiber auf konkrete Sicherheitsregelwerke von Sicherheitsmodulen schwierig, da eine Lücke (semantic gap) zwischen den verschiedenen Abstraktionsebenen besteht: Auf hoher Ebene existieren Applikationsobjekte, für die Zugriffsrechte vergeben werden sollen. Demgegenüber stehen die Sicherheitsmechanismen auf niedriger Ebene, wie sie beispielsweise in Dateisystemen und Datenbanken integriert sind. In derartigen Systemen lassen sich applikationsspezifische Zugriffsrechte nur unzulänglich formulieren, da auf dieser Abstraktionsebene die Schutzobjekte und die damit durchführbaren Operationen keine direkte Entsprechung von Applikationsobjekten haben. Das Schließen dieser Lücke mit klassischen Verfahren führt zu einer Verzahnung von Kernlogik und Sicherheitslogik, was das separation of concernsPrinzip verletzt. Dadurch werden die Qualitätseigenschaften des Servercodes verschlechtert, da sich dessen Komplexität und Kopplung erhöhen. Neben den Zielen no semantic gap und separation of concerns werden in dieser Arbeit noch obligation, complete mediation und isolation aufgestellt. In der vorliegenden Arbeit wird eine neue Methodik für die Entwicklung von sicheren objektorientierten Serverprogrammen vorgestellt, mit der alle der oben dargestellten zum Teil konträren Entwicklungsziele gleichermaßen erreicht werden können. Der Schwerpunkt liegt hierbei auf dem Sicherheitsaspekt Zugriffskontrolle und den davon geforderten Vorraussetzungen. Es wird eine Erweiterung der Programmiersprache Java vorgestellt, die es erlaubt, Zugriffskontrolle mit der Kernlogik von Servern zu verbinden, ohne dabei gegen eine der aufgestellten Forderungen zu verstoßen. Die Spracherweiterung wird Authorization Tags genannt. Authorization Tags sind Bezeichner, die Operationen auf Applikationsobjekten darstellen und eine Brücke zwischen den verschiedenen Abstraktionsebenen von Zugriffskontrollmaßnahmen schlagen. Der Nutzen der Methodik wird anhand eines exemplarischen Servers bewertet. Dazu werden drei verschiedene Derivate des Servers anhand von Softwaremetriken und ihrer Leistungsfähigkeit (Antwortzeit) verglichen. Dabei zeigt sich, daß sich bei der Softwareentwicklung mit Authorization Tags signifikante Vorteile gegenüber Standardlösungen ergeben.