Modul 183
Appli. -Sicherheit implementieren
Informationssicherheit
Kurzfassung
Um die Sicherheit zu gewährleisten, sind diese 3 Kriterien zu erfüllen.
Verfügbarkeit
Das System muss erreichbar sein
Integrität
unbefugte oder unbeabsichtige Veränderungen der Daten verhindern
Vertraulichkeit
Authentication und authorization
Der Programmierwahn von heute ist das Security-Desaster von Morgen
– Brian Chess, Fortify Inc.
Applikationssicherheit
OWASP Modell
Nicht benötigte Funktionen werden deaktiviert und aktuelle Updates eingespielt.
Verantwortliche Organisationseinheit:
- Betrieb
nötige Fachkenntnisse:
- Netzwerk- und Systemadministration
Webserver, Applikationsserver, Datenbank und Backend-Systeme.
Verantwortliche Organisationseinheit:
- Betrieb
nötige Fachkenntnisse:
- Netzwerk- und Systemadministration
Beispiel:
- Known Vulnerabilities
- Konfigurationsfehl
Verschlüsselung, Datenschutz, aktuelle Technologien verwenden.
Verantwortliche Organisationseinheit:
- Fachstellen, Entwickler, Betrieb
nötige Fachkenntnisse:
- IT-Sicherheitsrichtlinien
Beispiel:
- Verschlüsselung
- Authentifizierung
Programmierfehler “Bugs”
ungenügende Eingabeprüfung
ungenügende Testverfahren
Verantwortliche Organisationseinheit:
- Entwickler
nötige Fachkenntnisse:
- Softwareentwicklung
Beispiel:
- Cross-Site Scripting
- SQL Injection
Logik der Abläufe innerhalb einer Webanwendung.
Verantwortliche Organisationseinheit:
- Fachstelle, die für die Anforderung zuständig ist
nötige Fachkenntnisse:
- Kenntnisse der Geschäftsprozesse
Social Engineering, Phishing, Identitätsdiebstahl
Verantwortliche Organisationseinheit:
- Fachstelle, die für die Anforderung zuständig ist
nötige Fachkenntnisse:
- Unternehmensleitsätze und IT-Sicherheitsrichtlinien (DoWal)
Beispiel:
- Phishing-Schutz
