Für Industrie-Applikationen Sicherheit mit OWASP

Mit dem übersichtlichen OWASP Dashboard können Entwickler und Manager das Projekt und dessen Fortschritt kontinuierlich begleiten und einsehen.

Immer wieder hört man von umfangreichen Datensicherheits-Verletzungen bei Unternehmen jeglicher Größe. Die Häufigkeit und Schwere von Cyber-Security-Problemen nimmt kontinuierlich zu. Stellt sich die Frage: Wer ist als Nächstes betroffen und was kann man dagegen tun?

Genau hier setzt OWASP (Open Web Application Security Project) an.

Die offene Community mit kostenlosen Informationen und Schulungen zum Thema Applikationssicherheit ist für ihre OWASP Top 10 bekannt, eine Liste mit aktuellen gefährlichen Sicherheitsrisiken für Web-Applikationen. Wer in Sachen Applikationssicherheit bisher noch nicht viel unternommen oder sich auf Ad-hoc-Maßnahmen beschränkt hat, für den sind die OWASP Top 10 ein hervorragender Ansatzpunkt.

OWASP hat ausreichende Dokumentation für die Top 10 vorgelegt und eine Website für jede Schwachstelle von A1 bis A10 eingerichtet. Diese erläutert, worum es sich bei jeder Schwachstelle handelt, und gibt einen Risikowert an, der bei der Priorisierung und Selektierung möglicher Schwachstellen hilft.

In den OWASP Top 10 findet sich eine Unmenge an Informationen, Schulungsmaterial und Ratschlägen, die kostenlos verfügbar sind und laufend aktualisiert werden. Man erfährt etwas über gängige Sicherheitsprobleme sowie über Strategien, um diese Probleme zu detektieren und teils komplett zu umgehen.

Eine angestrebte Konformität bedeutet, dass man genau wissen muss, welches spezielle Element des Toolkits welchen Teil des Standards unterstützt. Im Fall der statischen Analyse weiß man also, welche Checker welche Elemente des Standards unterstützen und ob es Elemente im Standard gibt, die mehr als die statische Analyse erfordern (beispielsweise Peer-Code-Review oder Software-Composition-Analysis).

Am einfachsten geht man an das Thema Security heran, indem man am Ende anfängt und externe, in einer späten Phase des Zyklus ansetzende und das gesamte System erfassende Tests einsetzt, wie Penetration-Tests. Diese sind ideal für den Nachweis, dass die Applikation beziehungsweise das System keine der vom OWASP aufgezählten Schwachstellen enthält. Allerdings ist dieses Testen nach dem Blackbox-Prinzip keineswegs die effizienteste Methode zum Produzieren von Code, der sicherer ist. Besser ist also, sich nicht auf Blackbox-Tests verlassen, um die Software abzusichern oder Bugs aufzudecken oder den Nachweis zu erbringen, dass die Software sicher ist.

Findet man mit Penetration-Tests eine Sicherheitslücke, sollte man sich fragen, warum das so ist, um anschließend der Ursache des Problems auf den Grund zu gehen. Anstatt also durch Testen für Sicherheit zu sorgen, wird die Sicherheit beim Design gleich mit eingebaut. Hierfür gibt es SAST-Tools (Static Application-Security-Testing) mit Support für OWASP, wie die statische Codeanalyse.