OWASP 2017: Die Zweite

Zum ersten Mal seit 2013 hat das Open Web Application Security Project (OWASP) neue Bedrohungen in die bekannte Top-10-Liste der größten Risiken für Web-Anwendungen aufgenommen. Nach dem Release Candidate von April diesen Jahres folgte nun die Veröffentlichung der endgültigen Fassung. Für nicht wenige Unternehmen dient diese Liste als strategische Orientierungshilfe hinsichtlich ihrer Anwendungssicherheit. Allerdings sollte man sie nicht überbewerten, gedacht ist sie lediglich, um auf Gefahren aufmerksam zu machen.

Was ist neu in OWASP 2017?

Im Vergleich zu 2013 wartet die 2017er Liste mit drei neuen Einträgen auf: XML External Entity (XXE), Insecure Deserialization und Insufficient Logging & Monitoring haben es erstmals in die Top 10 geschafft. Beim Risiko XXE, der Nummer vier auf der diesjährigen Liste, handelt es sich um schlecht konfigurierte XML-Prozessoren, die externe Entitätsverweise in XML-Dokumenten bewerten. Angreifer können externe Entitäten nutzen, um Attacken zu starten, die Remote-Code-Ausführung beinhalten und interne Dateien sowie SMB-File-Shares zugänglich machen. Static Application Security Testing (SAST) kann diese Gefahren aufdecken, indem es Abhängigkeiten und Konfigurationen untersucht.

Insecure Deserialization findet sich auf Platz acht des Rankings. Durch diesen Fehler können Hacker aus der Ferne Code in einer Anwendung ausführen, serialisierte Daten verändern oder löschen. Dadurch lassen sich sogar Injection-Angriffe durchführen und Privilegien vergeben. Application Security Tools können Deserialisierungsfehler erkennen, aber häufig sind Penetrationstests nötig, um das Problem zu bestätigen.

Ausgewähltes Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Der letzte neue Eintrag ist Insufficient Logging & Monitoring auf Platz zehn. Unzureichendes Logging und ineffiziente Integration in Security-Incident-Response-Systeme erlauben es Hackern, in weitere Systeme vorzudringen, und so über Wochen eine konstante Bedrohung aufrechtzuerhalten. Da Cyber-Kriminelle immer auf der Suche nach neuen Schwachstellen sind, sind Logging und Monitoring auch für die Bekämpfung der neun anderen Risiken relevant.

Die Punkte A1: Injection und A2: Broken Authentification and Session Management sind allerdings immer noch dieselben wie vor vier Jahren. Das sind keine guten Nachrichten, zeigt es doch, dass es in diesem Zeitraum nicht gelungen ist, diese Bedrohungen auszumerzen. Offenbar wird in diesen Bereichen auch heute noch unsicher programmiert.

OWASP-Empfehlungen für sichere Web-Anwendungen

OWASP hat eine Reihe von Empfehlungen veröffentlicht, wie die nächsten Schritte auf dem Weg zu sicheren Anwendungen aussehen sollten.

Entwickler sollten wiederholbare Sicherheitsprozesse sowie -maßnahmen einführen und nutzen. Sicherheitsaspekte sollten von Beginn an bedacht und Anwendungssicherheitspraktiken eingeführt werden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Continous Application Security Testing bringt mehr Sicherheit. Das Testing sollte zudem mit dem Software Development Lifecycle (SDLC) kompatibel sein. Zunächst sollte man sich auf das Wichtigste konzentrieren, bevor das Programm mit der Zeit ausgebaut wird. Außerdem ist es wichtig, gefundene Sicherheitsprobleme effektiv zu kommunizieren.

Unternehmen sollten, sofern nicht schon geschehen, so schnell wie möglich ein Anwendungssicherheits-Programm ins Leben rufen. Dabei sollten sie einen risikobasierten Portfolio-Ansatz wählen. Richtlinien, Fortbildungen und Unterstützung für Entwickler und Projektteams geben den Mitarbeitern mehr Sicherheit. Das Testing sollte sich außerdem nahtlos in existierende Prozesse einfügen.

Immer am Ball bleiben

Anwendungssicherheit ist ein äußerst komplexes Thema, für das es keine Patentlösung gibt. Sichere Anwendungen erhält man nur durch das Zusammenspiel von Menschen, Prozessen und Technologie. Heute kann es sich niemand mehr leisten, Sicherheit als Randthema zu behandeln. Vielmehr muss sie von Beginn an integraler Bestandteil des Software Development Lifecycle sein. Listen, wie OWASP, leisten einen guten Dienst, indem sie auf Bedrohungen aufmerksam machen. Als einziges Relevanzkriterium für zukünftige Sicherheitskonzepte sollten sie aber natürlich nicht dienen, dafür brauchen Unternehmen viel genauere und stets aktuelle Informationen.

Redaktion

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

3 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

3 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

3 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

3 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

3 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

3 Jahre ago