Awareness

OWASP – Welche Organisation steckt hinter der OWASP Top 10?

Aktualisiert am

OWASP ist ein Begriff, der häufig im Bereich der IT-Sicherheit zu finden ist. Einige Wissen nicht, was sich hinter dem Begriff OWASP tatsächlich befindet. Es handelt sich um eine Organisation, die es zum Ziel hat, für mehr Sicherheit in Anwendungen und Diensten im Internet zu sorgen.

OWASP – Open Web Application Security Project

Hinter der Abkürzung OWASP steckt der Begriff Open Web Application Security Project. Dieses Security Project besteht aus einer Non-Profit-Organisation, die für mehr Sicherheit im Internet sorgen möchte. Die Organisation ist weltweit vertreten und ist in verschiedene nationale Chapter aufgeteilt. Viele solcher Chapter veranstalten OWASP-Stammtische, oder andere Formen von Veranstaltungen. Informationen zu dem OWASP German Chapter  können auf GitHub sowie auf der Webseite der Hauptorganisation gefunden werden.

Die Organisation wurde bereits am 01. Dezember 2001 gegründet und ist seit dem 21. April 2004 eine eingetragene gemeinnützige Organisation der Vereinigten Staaten. Die Organisation hat für Ihre Reichweite und Anzahl an Projekten nur sehr wenige Angestellte. Diese werden komplett aus Sponsoring, Konferenzen oder Werbebanner bezahlt.

Bei jeglichen Projekten, die mit OWASP zusammenhängen, sollen einige “Core Values” (übersetzt: “Grundwerte”) befolgt werden, die sichtbar auf der Webseite der Organisation genannt werden:

  1. Offen: Alles bei OWASP ist grundlegend transparent, von unseren Finanzen bis hin zu unserem Code
  2. Innovativ: Wir ermutigen und unterstützen Innovationen und Experimente für Lösungen von Software-Sicherheits-Herausforderungen
  3. Global: Jeder auf der ganzen Welt wird ermutigt, sich an der OWASP-Community zu beteiligen
  4. Integrität: Unsere Gemeinschaft ist respektvoll, unterstützend, wahrheitsgemäß und herstellerneutral

Bekannte Projekte und Veröffentlichungen

Wie bereits erwähnt stolpert man schnell über den Begriff OWASP, wenn man sich intensiver mit der IT-Sicherheit beschäftigt und vor allem der Sicherheit von Webanwendugnen. Eine der bekanntesten Veröffentlichungen von OWASP ist der Top 10 Report, der jährlich veröffentlicht wird und die zehn wichtigsten Risiken und Angriffsarten im Bereich von Webanwendungen zeigt.

Nach diesem Report werden viele Penetrationstest durchgeführt bzw. die gefundenen Sicherheitslücken kategorisiert. Grundsätzlich wird die Arbeit von OWASP in zwei Kategorien aufgeteilt, die Entwicklungsprojekte sowie die Dokumentationsprojekte. Ein sehr bekanntes Entwicklungsprojekt ist der OWASP Juice Shop, der eine Testumgebung darstellt, indem absichtlich viele Sicherheitslücken implementiert sind. Diese Testumgebung erwähnen wir häufig, wenn wir die Frage gestellt bekommen, wie man seine Fähigkeiten als Penetrationstester entwickeln bzw. verbessern kann.

Wer sich mit den Grundwerten von OWASP identifizieren kann und gerne an verschiedensten Projekten mitarbeitet, um so neue Kontakte zu knüpfen und für mehr IT-Sicherheit auf der Welt zu sorgen, kann für 50$ im Jahr Mitglied werden.

Mitglieder in der Non-Profit-Organisation sind bspw. Firmen, Einzelpersonen aber auch Lehreinrichtungen, die Ihre Expertise im Bereich der IT-Sicherheit in verschiedene Projekte mit einbringen möchten.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.