Skip to main content
Applikationssicherheit umfasst alle Prozesse, Tätigkeiten und Infrastrukturen, die für den gesamten Lebenszyklus einer Anwendung notwendig sind, z. B.:
  • Spezifikation
  • Entwicklung
  • Integration
  • Betrieb
  • Support
  • Erweiterung
  • Ablösung
  • Rechte- und Rollenverwaltung
  • Datenmanagement
  • Schnittstellen
  • Middleware-Komponenten
Applikationssicherheit baut auf der technischen IT-Sicherheit auf, die Systeme, Netzwerke und Zugänge vor Angriffen (z. B. Hacker, Malware) schützt. Während technische IT-Sicherheit schon länger etabliert ist, entwickelte sich Applikationssicherheit erst später als koordinierte Aufgabe.

OWASP

Das Open Web Application Security Project (OWASP) ist ein Community-Projekt zur Verbesserung der Sicherheit und Qualität von Webanwendungen. OWASP beschreibt verschiedene Ebenen, auf denen Schwachstellen entstehen können.
EbeneInhaltBeispiele
5SemantikSchutz vor Täuschung und Betrug
  • Phishing-Schutz
  • Informationspreisgabe
4LogikAbsicherung von Prozessen und Workflows
  • Passwort vergessen
  • User Lock-Out
3ImplementierungVermeiden von Programmierfehlern, die zu Schwachstellen führen
  • XSS
  • SQL-Injection
2TechnologieRichtige Wahl und sicherer Einsatz von Technologie
  • Verschlüsselung
  • Authentisierung
1SystemAbsicherung der auf der Systemplattform eingesetzten Software
  • Known Vulnerabilites
  • Konfigurationsfehler
0Netzwerk und HostAbsicherung von Host und Netzwerk

Ebene 0 – Netzwerk und Host

Grundlegende Sicherheit der Infrastruktur. Die Verantwortlichkeit liegt beim Betrieb bzw. den Systemadministratoren.
  • Betriebssystem härten
  • Unnötige Funktionen deaktivieren
  • Updates installieren

Ebene 1 – System

Programme, die für den Betrieb der Webanwendung notwendig sind. Das sind z. B. Webserver, Applikationsserver, Datenbanken, CMS. Die Verwantwortlichkeit liegt beim Betrieb bzw. den Systemadministratoren.
  • Korrekte Konfiguration
  • Keine bekannten Sicherheitslücken

Ebene 2 – Technologie

Auswahl und korrekte Nutzung der richtigen Technologie für den Schutzbedarf. Die Verantwortlichkeit liegt sowohl beim Betrieb, als auch bei den Entwicklern und den jeweiligen Fachstellen.
  • Sensible Daten verschlüsselt übertragen
  • Hashwerte übertragen
  • Sichere Authentifizierungsverfahren

Ebene 3 – Implementierung

Fehler in der Programmierung oder ungenügende Qualitätssicherung. Die Verantwortlichkeit liegt bei den Entwicklern.
  • Programmierfehler
  • Fehlende Eingabevalidierung
  • Falsche Nutzung von Sicherheitstechnologien

Ebene 4 – Logik

Sicherheitsprobleme durch fehlerhafte oder missbrauchbare Abläufe in der Anwendung. Verantwortlichkeit liegt bei den jeweiligen Fachstellen, die für die Anforderungen zuständig sind.
  • Konto wird absichtlich von Angreifer gesperrt

Ebene 5 – Semantik

Betrifft Vertrauen zwischen Benutzer und Anwendung. Verantwortlichkeit liegt bei den jeweiligen Fachstellen, die für die Anforderungen zuständig sind und bei den Unternehmensrichtlinien.
  • Social Engineering
  • Phishing
  • Identitätsdiebstahl
Hier wird oft nicht nur eine Anwendung betrachtet, sondern das gesamte System oder Unternehmen.