iX 1/2018
S. 60
Report
Webanwendungssicherheit
Aufmacherbild

Neue Liste der Risiken veröffentlicht

Vorgewarnt

Zum Sensibilisieren für Risiken in Webanwendungen ist die Liste der OWASP Top 10 zweifelsohne eines der relevantesten Dokumente überhaupt. Die Version 2017 ist am 20. November erschienen.

Die Schwachstellen-Hitliste „OWASP Top 10“ dient sehr vielen Standards als Referenz. Penetrationstests sollen etwa laut Sicherheitsstandard der Kreditkartenindustrie (Payment Card Industry Data Security Standard; PCI DSS) die OWASP Top 10 abdecken, Microsoft verweist auf die Liste in seinem „Secure Development Lifecycle“ und auch die Gefährdungen für den Baustein 5.21 der BSI-Grundschutz-Kataloge (alt) basieren unter anderem auf den Top 10.

Die Liste ist ein Projekt des Open Web Application Security Project (OWASP) und nach Erkenntnis der Verantwortlichen eines der am häufigsten heruntergeladenen, aber auch am häufigsten missbrauchten Dokumente von OWASP. Der Missbrauch findet in erster Linie in Feature-Listen von Herstellern statt. Diese nehmen häufig Bezug auf das Dokument und erwecken damit den Anschein von großer Nähe zum Projekt oder gar einer „OWASP-Top-10-Zertifizierung“. Eine solche gibt es jedoch weder für Dienstleistungen noch für Schulungen oder Produkte.

Wie alle Projekte von OWASP wird auch dieses von Ehrenamtlichen getragen. Seit 2004 veröffentlichen sie dreijährlich neue OWASP Top 10. 2016 blieb eine neue Fassung hingegen aus. Für viele Mitglieder gab es zu starke Überschneidungen zwischen am Projekt beteiligten Personen, neuen Risiken in der Liste und „zufällig“ dazu passenden Produkten von der Firma eines der Freiwilligen. Dies mag Zufall gewesen sein, ein „Gschmäckle“ wäre jedoch auf alle Fälle geblieben.

Zum Glück steht jedoch das „O“ in OWASP für Open und hier zeigt sich eine große Stärke des Projekts: Infolge der Irritationen lehnten die Beteiligten den ersten Release-Kandidaten ab. Es wurden neue, ebenfalls ehrenamtliche Projektleiter ins Boot geholt und ein neuer Plan erstellt.

Blick in die Glaskugel

Die OWASP Top 10 basieren in weiten Teilen auf von Dritten zur Verfügung gestellten Daten. Zum einen geben Hersteller von Sourcecode-Analysewerkzeugen empirisch erhobene Datensätze ab. Damit nicht ein einzelner die Daten verfälscht, hat das Projekt viele Hersteller zur Teilnahme aufgerufen. Offensichtlich mit Erfolg, es haben sich mehrere Anbieter beteiligt. Die Daten stehen erstmals zum Abruf öffentlich bereit (alle Links des Artikels sind über ix.de/ix1801060 zu finden).

Diese Informationen zu normalisieren, ist eine große Herausforderung. Schließlich soll kein Hersteller mit übermäßig vielen Daten vertreten sein. Darüber hinaus werden auch Datensätze von Organisationen und Einzelpersonen angefordert. Daraus versuchen die Projektverantwortlichen ein möglichst stimmiges Gesamtbild zu schaffen.

Kommentieren