2005-11-22 10:52:21

Zertifizierte Online-Sicherheit

In der ON-Regel ONR 17700 steht, wie man am besten Sicherheitslücken in Webapplikationen vermeiden kann.

Michael Reisner

Druckversion

Mehr als 70 Prozent der österreichischen Firmen nützen bereits die Möglichkeit, über das World Wide Web unternehmerisch tätig zu sein. Webapplikationen funktionieren über einen Webbrowser und sind die Schnittstelle zwischen der hausinternen IT und dem Internet, weshalb sie eine Schlüsselrolle bei der Zugangssicherung spielen. Oft wird es Hackern durch unzureichend gestaltete bzw. geprüfte Webapplikationen leicht gemacht.

Viele Lücken

In Österreich ist die Lage nach einer Untersuchung der SEC-Consult folgendermaßen: neun Prozent "leichte" Fehler können Systeme nicht direkt schädigen, geben jedoch sensitive Informationen preis. 52 Prozent "mittelschwere" Fehler können Applikationsdaten kompromittieren, etwa Kundeninformationen, wobei der Imageschaden beträchtlich sein kann. 26 Prozent "schwere" Fehler erlauben dem Angreifer den Zugriff auf Betriebssystem und Netzwerkebene. Und schließlich 13 Prozent "kritische" Fehler räumen dem Hacker höchste Privilegien, wie Administrator-Rechte, ein.

Abhilfe mit ONR 17700 Die neue ON-Regel ONR 17700 schafft Abhilfe bei diesem Problem. Als weltweit erstes Dokument legt sie sicherheitstechnische Anforderungen fest. Sie behandelt die Themenbereiche Architektur der Webapplikation, Konfigurationsmanagement, Authentisierung und Sitzungsmanagement, Formulare und andere Benutzereingaben, Einbinden von Dateien, Ausführung externer Programme, File Uploads und Downloads, Datenbanken, Fehlermeldungen und Kryptographie. Zu allen zur Zeit bekannten Angriffsmethoden wird erläutert, wie man sie effektiv verhindert. Die übersichtliche Aufstellung ist wie eine Checkliste zu verwenden, damit nichts vergessen wird. Gegebenenfalls dient sie Sicherheitsverantwortlichen auch als Argumentationshilfe, um bestimmte Maßnahmen im Betrieb durchzusetzen.

Zertifizierung gibt Sicherheit

Hat ein Unternehmen alle Anforderungen der ONR 17700 an eine Webapplikation erfüllt, kann es sich zertifizieren lassen. Um eine unabhängige und objektive Evaluierung der Anwendung zu garantieren, müssen der Quelltext sowie ein Testsystem einer Auditorganisation zur Verfügung gestellt werden. Ein Vorteil des Auditverfahrens: möglicherweise übersehene Schwachstellen werden beanstandet und können bereinigt werden. Und ebenso wie bei Webapplikationen, bei denen es um enorme Geldtransfers geht, wie z.B. im Bankenbereich, gewährleistet eine Zertifizierung jedem Unternehmen Rechtssicherheit.

Erhältlich ist ONR 17700 "Informationsverarbeitung - Sicherheitstechnische Anforderungen an Webapplikationen" über

http://www.on-norm.at/shop