Applikationssicherheit

Applikationssicherheit umfasst alle Prozesse, Tätigkeiten und Infrastrukturen, die für den gesamten Lebenszyklus einer Anwendung notwendig sind, z. B.:

Spezifikation

Entwicklung

Integration

Betrieb

Support

Erweiterung

Ablösung

Rechte- und Rollenverwaltung

Datenmanagement

Schnittstellen

Middleware-Komponenten

Applikationssicherheit baut auf der technischen IT-Sicherheit auf, die Systeme, Netzwerke und Zugänge vor Angriffen (z. B. Hacker, Malware) schützt. Während technische IT-Sicherheit schon länger etabliert ist, entwickelte sich Applikationssicherheit erst später als koordinierte Aufgabe.

OWASP

Das Open Web Application Security Project (OWASP) ist ein Community-Projekt zur Verbesserung der Sicherheit und Qualität von Webanwendungen.

OWASP beschreibt verschiedene Ebenen, auf denen Schwachstellen entstehen können.

Ebene

Inhalt

Beispiele

Semantik

Schutz vor Täuschung und Betrug

Phishing-Schutz
Informationspreisgabe

Logik

Absicherung von Prozessen und Workflows

Passwort vergessen
User Lock-Out

Implementierung

Vermeiden von Programmierfehlern, die zu Schwachstellen führen

XSS
SQL-Injection

Technologie

Richtige Wahl und sicherer Einsatz von Technologie

Verschlüsselung
Authentisierung

System

Absicherung der auf der Systemplattform eingesetzten Software

Known Vulnerabilites
Konfigurationsfehler

Netzwerk und Host

Absicherung von Host und Netzwerk

Ebene 0 – Netzwerk und Host

Grundlegende Sicherheit der Infrastruktur. Die Verantwortlichkeit liegt beim Betrieb bzw. den Systemadministratoren.

Betriebssystem härten

Unnötige Funktionen deaktivieren

Updates installieren

Ebene 1 – System

Programme, die für den Betrieb der Webanwendung notwendig sind. Das sind z. B. Webserver, Applikationsserver, Datenbanken, CMS. Die Verwantwortlichkeit liegt beim Betrieb bzw. den Systemadministratoren.

Korrekte Konfiguration

Keine bekannten Sicherheitslücken

Ebene 2 – Technologie

Auswahl und korrekte Nutzung der richtigen Technologie für den Schutzbedarf. Die Verantwortlichkeit liegt sowohl beim Betrieb, als auch bei den Entwicklern und den jeweiligen Fachstellen.

Sensible Daten verschlüsselt übertragen

Hashwerte übertragen

Sichere Authentifizierungsverfahren

Ebene 3 – Implementierung

Fehler in der Programmierung oder ungenügende Qualitätssicherung. Die Verantwortlichkeit liegt bei den Entwicklern.

Programmierfehler

Fehlende Eingabevalidierung

Falsche Nutzung von Sicherheitstechnologien

Ebene 4 – Logik

Sicherheitsprobleme durch fehlerhafte oder missbrauchbare Abläufe in der Anwendung. Verantwortlichkeit liegt bei den jeweiligen Fachstellen, die für die Anforderungen zuständig sind.

Konto wird absichtlich von Angreifer gesperrt

Ebene 5 – Semantik

Betrifft Vertrauen zwischen Benutzer und Anwendung. Verantwortlichkeit liegt bei den jeweiligen Fachstellen, die für die Anforderungen zuständig sind und bei den Unternehmensrichtlinien.

Social Engineering

Phishing

Identitätsdiebstahl

Hier wird oft nicht nur eine Anwendung betrachtet, sondern das gesamte System oder Unternehmen.

VorherigeInformationssicherheit NächsteInformationsquellen

Zuletzt aktualisiert vor 15 Tagen

hashtagOWASP

hashtagEbene 0 – Netzwerk und Host

hashtagEbene 1 – System

hashtagEbene 2 – Technologie

hashtagEbene 3 – Implementierung

hashtagEbene 4 – Logik

hashtagEbene 5 – Semantik