Schlagwortarchiv für: OWASP

Die OWASP Top 10 – Eine Checkliste für IT Security

Abstrakte Nahaufnahme eines Bildschirms mit dem Wort 'Security' und einem Cursor, der darauf zeigt. Das Bild illustriert den Fokus auf Sicherheitsmaßnahmen und dient als Titelbild für einen Blogbeitrag über die OWASP Security Checklist, die Richtlinien für Webanwendungen zur Verbesserung der Sicherheit enthält.

Die Angriffe auf IT-Infrastrukturen verschiedener Anbieter häufen sich.1 Das Thema IT-Security ist präsent wie nie in den Medien und natürlich auch in der Softwareentwicklung.

 

Das Projekt OWASP

Als Softwaredienstleister ist es essenziell, einen Überblick über verschiedene Schwachstellen in der Softwareentwicklung zu haben und zu wissen, welche präventive Maßnahmen man ergreifen kann. An dieser Stelle kommt die OWASP Top 10 Liste ins Spiel. Das ist eine Liste der kritischsten Sicherheitsrisiken für Webanwendungen, die von dem Open Web Application Security Project (Was) zusammengestellt wird. Sie umfasst typische Schwachstellen wie Injektion, die es Angreifern ermöglichen, bösartigen Code einzuschleusen, oder unsichere Authentifizierungsmethoden, die unautorisierten Zugriff ermöglichen können. Zudem behandelt die Übersicht Probleme wie Sicherheitskonfigurationsfehler und unsachgemäße Datenverschlüsselung, die zur Offenlegung sensibler Informationen führen können. Daher dient sie als Leitfaden für Entwickler und Sicherheitsprofis, um Sicherheitslücken zu identifizieren und zu beheben, bevor sie ausgenutzt werden.

Werfen wir nun gemeinsam einen Blick auf die dazugehörige Website. Ein erster Blick auf eine Infografik (s.u.) verrät uns, dass sich die Häufigkeit bestimmter Angriffe im Web verändert. Galt 2017 noch das Einschleusen von Code als größte Sicherheitslücke, steht 2021 das direkte Eindringen in Systeme auf Platz 1 der Auflistung.

Infografik OWASP für den Blogartikel "Die OWASP Top 10 – Eine Checkliste für IT Security"

Maßnahmen zur Vermeidung von Sicherheitslücken: Ein Blick auf „Broken Access Control“

Doch die Top 10 der Sicherheitslücken zeigt nicht nur die wichtigsten Risiken auf, sondern auch, wie man gegen sie vorgehen kann. Ein Blick auf die Detailseite der größten Gefahren nach Häufigkeit in 2021 verrät mehr Details über mögliche Angriffe, aber gibt auch Ratschläge, um diese zu vermeiden.

Mögliche Beispiele zum Verhindern der Angriffe sind:

  • Automatische Attacken durch das setzten eines Limits an Anfragen an eine Schnittstelle unterbinden
  • Keine Backupdateien in Wurzelverzeichnissen
  • Standardmäßig Zugriffe verweigern (außer bei öffentlichen Ressourcen).

Kenntnisse über Angriffsmöglichkeiten und die passenden Verteidigungsmechanismen und Strukturen sind auch für Software in der industriellen Produktion wichtig für Vertrauen und Sicherheit. Wir nutzen Berichte über mögliche Attacken, wie die OWASP-Liste, um uns über die Sicherheit von Anwendungen auszutauschen und unsere Software entsprechend zu härten und zu verbessern.

 

1 https://www.krankenhaus-it.de/item.3358/dramatische-zunahme-erfolgreicher-cyberattacken.html