Haben Sie schon einmal von dem Open Worldwide Application Security Project (OWASP) und deren Top 10 gehört? Die Non-Profit-Organisation widmet sich der Aufklärung von Sicherheitsaspekten im Internet und liefert dazu eine weltweit anerkannte Top-10-Liste, die von Sicherheitsforschern in der ganzen Welt mit großem Interesse wahrgenommen wird.
In unserem heutigen Beitrag werden wir Ihnen zunächst einmal das Open Worldwide Application Security Project genauer vorstellen und erläutern, worum es sich dabei im Detail handelt. Außerdem gehen wir auf die OWASP Top 10 ein und erklären Ihnen, was diese für Sie bedeutet und wie Sie von der OWASP Top 10 profitieren können.
Wer oder was ist die OWASP?
OWASP ist wie eingangs schon erwähnt die Abkürzung von Open Worldwide Application Security Project. Dabei handelt es sich um eine Non-Profit-Organisation, die sich das Ziel gesetzt hat, die Sicherheit in Web-Anwendungen zu verbessern. Die OWASP möchte mit ihrer Arbeit auf Schwachstellen hinweisen, Sicherheitslücken identifizieren und so für eine möglichst hohe Transparenz sorgen.
Es geht somit nicht darum, mit dem Finger auf diejenigen zu zeigen, die eine Sicherheitslücke zu verantworten haben. Auch geht es nicht darum, Software an den Pranger zu stellen, die besonders viele Schwachstellen besitzt. Vielmehr möchte das Open Web Application Security Project dafür sorgen, dass sicherheitsrelevante Aspekte nicht verschweigen werden und offen einsehbar sind.
Die OWASP setzt sich als Non-Profit-Organisation also in erster Linie für Transparenz in Bezug auf Sicherheit ein. Durch diese Transparenz soll es sowohl aufseiten der Privatanwender, als auch im Bereich der Unternehmen möglich sein, eine Entscheidung in Bezug auf die Sicherheitsrisiken von unterschiedlichen Systemen zu treffen.
Ziel der OWASP als Community
Statt gegeneinander, arbeiten innerhalb der OWASP also Privatleute, Unternehmen, Sicherheitsforscher und Bildungseinrichtungen als Community daran, Informationen frei verfügbar zu machen und neue Methoden und Werkzeuge im Sicherheitsbereich zu entwickeln.
Laut eigenen Aussagen hat das Open Worldwide Application Security Project viele hunderte Ortsgruppen weltweit sowie Bildungs- und Schulungskonferenzen, die ebenfalls Teil des Projektes sind. Zusammen sind das zehntausende von Mitgliedern, die die OWASP als Organisation entsprechend unterstützen und supporten.
Ziel der OWASP ist eine Verbesserung der Sicherheit von Software. Außerdem möchte man selbst die Quelle für Tools, Ressourcen, Networking, Ausbildung sowie Schulung in diesem Bereich sein. Eine Stiftung also, die sich ganz und gar der Sicherheit im Internet verschrieben hat.
OWASP Top 10 und ihre Bedeutung
Eines der populärsten und weltweit bekanntesten Projekte von der OWASP ist die sogenannte Top-10-Liste. Die OWASP Top 10 dient zur Sensibilisierung von Entwicklern, indem sie eine Topliste, also eine Liste mit den wichtigsten Sicherheitsrisiken in Web-Anwendungen offenlegt.
Die OWASP Top 10 hat deshalb solch eine große Bedeutung, weil sie weltweit anerkannt und wertgeschätzt wird. Sie gilt damit als Startpunkt jeder sicheren Programmierung und findet eine entsprechende Berücksichtigung in Unternehmen, Teams und bei Einzelentwicklern.
Wird die OWASP Top 10 aktualisiert, bekommt selbige daher Anerkennung von der gesamten Community an Entwicklern. Das geschieht nicht ständig, sondern immer nur dann, wenn es neue Erkenntnisse in Bezug auf Sicherheitsrisiken gibt. Die OWASP aktualisiert die Top 10 also nicht krampfhaft und als Werbe-Gag, sondern als ernst gemeinte Topliste für Schwachstellen. Genau deshalb wird ihr auch so viel Bedeutung beigemessen.
Aktuelle OWASP Top-10-Liste von 2022
Die aktuelle Liste stammt aus dem Jahr 2021, ist derzeit aber noch aktuell und sollte demnach weiterhin verwendet werden. Bei zukünftigen Aktualisierungen wird der Artikel von uns auf den aktuellen Stand gebracht. Die Originalliste in Englisch finden Sie auf der offiziellen Website der OWASP.
- A01:2021 – Fehlerhafte Zugriffskontrollen: Die Zugriffskontrollen sind das Herzstück im Hinblick auf die Sicherheit. Sie sorgen dafür, dass alle Nutzer nur dort hingelangen, wo sie sich auch aufhalten dürfen. Sicherheitsrelevante Bereiche sind demnach besonders geschützt und gar nicht ohne Weiteres erreichbar.
- A02:2021 – Kryptografische Ausfälle: Wann immer Daten nicht korrekt verschlüsselt werden, ist auch kein kryptografischer Schutz mehr vorhanden. Das gilt es zu beachten.
- A03:2021 – Injections: Bei Injections geht es darum, Schadcode in ein System einzuschleusen oder besser gesagt zu injizieren. Vor allem Cross Site Scripting (XSS) und SQL-Injections sollten allseits geläufig sein.
- A04:2021 – Unsicheres Design: Typisch für ein unsicheres Design sind Fehlermeldungen, die automatisch Nutzerinformationen oder andere sensible Daten enthalten.
- A05:2021 – Fehlerhafte Sicherheitskonfiguration: Standardwerte, automatisch generierte Passwörter, fehlerhafte Sicherheitseinstellungen, all das sind große Probleme.
- A06:2021 – Anfällige und veraltete Komponenten: Immer noch relevant und oft gesehen, sind veraltete Softwareversionen, die eine unnötige Angriffsfläche bieten.
- A07:2021 – Identifikations- und Authentifizierungsfehler: Hier geht es um typische Schwachstellen im Bereich Identifikation und Authentifizierung. Also eine fehlende Zwei-Faktor-Authentifizierung oder kein ausreichender Brute-Force-Schutz.
- A08:2021 – Software- und Datenintegritätsprobleme: Dieser Punkt umfasst Schwachstellen in Software-Updates, CI/CD-Pipelines und sensiblen Datensätzen. Ist Software auf Bibliotheken oder Dateien Dritter angewiesen, ergeben sich entsprechende Probleme.
- A09:2021 – Fehler bei der Sicherheitsprotokollierung: Logging und Monitoring dient dazu, dass Fehler innerhalb der Sicherheitsprotokollierung erkannt und behoben werden können. Schwierig wird es dann, wenn es keine oder nur mangelhafte Logs gibt.
- A10:2021 – Serverseitige Anforderungsfälschung: Ruft eine Webanwendung eine Ressource ab, ohne die URL zu validieren, besteht die Gefahr, dass eine Fälschung der Anforderung sensible Informationen übermittelt.
Unsere Meinung zur OWASP Top 10
Schon seit Anfang der 2000er stellt das Open Worldwide Application Security Project die eigene Top-10-Liste der gefährlichsten Sicherheitsrisiken zur Verfügung. Von Anfang an hatte diese eine entsprechende Bedeutung und war stets sehr durchdacht angelegt. Da zudem kein kommerzielles Interesse bestand, sondern vor allem Transparenz geschaffen werden sollte, verbreitete sich die Top 10 über die Jahre recht schnell.
Heute gilt die OWASP Top 10 als Liste, die einen ersten und wichtigen Orientierungspunkt bei der Entwicklung von Web-Anwendungen gewährleistet. Auf die zehn Punkte ist immer zu achten, egal wie klein oder unbedeutend das jeweilige Projekt auch erscheinen mag. Eine praktische Anlaufstelle also, für jeden sicherheitsbewussten Entwickler.
Auch wir empfinden die OWASP Top 10 als entsprechend wichtig und wollten sie Ihnen an dieser Stelle einmal genauer vorstellen. Wir denken, wir konnten Ihnen einen guten Eindruck vermitteln. Wenn Sie selbst unsere Leistungen für Ihr Unternehmen in Anspruch nehmen möchten, sprechen Sie uns gerne an.