Ein Ebenenmodell dient dazu, die Zuständigkeiten der relevanten Organisationsbereiche den einzelnen Teilaufgaben bei der Sicherheitskonzeption und Realisierung von Webanwendungen zuzuordnen. Ausgangspunkt ist eine Unterteilung in 6 Ebenen (Ebene 0 bis Ebene 5):

Ebene Inhalt (Kurzfassung) Verantwortlich Fachkenntnisse
5 Semantik Schutz vor Täuschung und Betrug Zentrale Corporate Identity und Unternehmenskommunikation
4 Logik Absicherung von Prozessen und Workflows als Ganzes Auftraggeber Kenntnisse der Geschäftsprozesse
3 Implementierung Vermeiden von Programmierfehlern, die zu Schwachstellen führen Entwickler (Umsetzer) Softwareentwicklung
2 Technik Richtige Wahl und sicherer Einsatz von Technik Fachentwickler, IT-Betrieb Allgemeine IT-Security
1 System Absicherung der auf der Systemplattform eingesetzten Software IT-Betrieb Netzwerk- und Systemadministration
0 Netzwerk & Host Absicherung von Host und Netzwerk

Ebene 0 – Netzwerk und Host

Bearbeiten

Die Ebene von Netzwerk, Server-Hardware und darauf laufendem Betriebssystem wird hier nicht direkt der Sicherheit der Webanwendung zugeordnet. Diese Ebene schließt sich vielmehr nach unten an. Die Umsetzung grundlegender Sicherheitsmaßnahmen auf dieser Ebene wird gleichwohl als zwingende Voraussetzung für sichere Webanwendungen betrachtet.

Ebene 1 – Systemebene

Bearbeiten

Bei der Systemebene werden all jene Programme betrachtet, die für das Funktionieren der gesamten Webanwendung benötigt werden. Dazu gehören der Webserver und der Anwendungsserver, aber auch Datenbank- und Backend-Systeme. Diese Komponenten müssen bei der Sicherheitskonzeption einer Webanwendung mit einbezogen werden und entsprechend eingestellt werden.

Ebene 2 – Technologie

Bearbeiten

Diese Ebene der Technologie betrifft die Verwendung der für den jeweiligen Einsatzzweck und Schutzbedarf richtigen Technologie sowie deren korrekte Nutzung. So z. B. setzt eine Webanwendung, die sensible Daten unverschlüsselt über das Internet transferiert, nicht die richtige Technologie ein. Eine Webanwendung, die Passwörter zwar verschlüsselt, dafür aber einen zu kurzen Schlüssel verwendet, setzt ggf. eine richtige Technologie falsch ein.

Ebene 3 – Implementierung

Bearbeiten

Die Implementierungsebene umfasst den Bereich der unbeabsichtigten Programmfehler (Bugs), aber auch nicht vorhandene oder ungenügende Prüfung von Eingabedaten (Data Validation). Diese Ebene beinhaltet ferner ungenügende Testverfahren, und die Vernachlässigung der Qualitätssicherung beispielsweise aus Kostengründen.

Ebene 4 – Logik

Bearbeiten

Diese Ebene betrifft sowohl die Logik der Abläufe innerhalb einer Webanwendung, als auch die Interaktion mit dem Benutzer. Ist diese zu 'zweckorientiert' implementiert, kann gegebenenfalls eine Missbrauchsmöglichkeit vorliegen. Wird etwa zur Verhinderung einer mehrfach wiederholten Eingabe eines Passwortes nach dem fünften fehlerhaften Loginversuch die entsprechende Benutzerkennung gesperrt, so könnte dieser Benutzer durch Dritte gezielt ausgesperrt werden, sofern keine weiteren Maßnahmen getroffen werden. Diese missbräuchliche Vorgehensweise wird weiter erleichtert, wenn die Benutzerkennung einfach zu erraten ist.

Ebene 5 – Semantik

Bearbeiten

Die semantische Ebene umfasst inhalts- und kommunikationsbezogene Aspekte. Sie stellt den Vertrauenskontext für die Interaktion mit einem Benutzer her. Wird in diesem Bereich nicht ein hohes Maß an Sorgfalt aufgewendet, so kann eine Webanwendung von Dritten missbraucht werden, um einen Benutzer zu täuschen. Dieser Bereich kann selten auf eine einzelne Anwendung beschränkt bleiben. Vielmehr ist eine website- oder unternehmensübergreifende Betrachtung notwendig. Missbrauchsmöglichkeiten, die sich Fehler auf der semantischen Ebene zunutze machen, sind Social Engineering, Phishing, Identitätsdiebstahl etc.

Siehe auch

Bearbeiten

Literatur

Bearbeiten
  • Hacking Exposed: Web Applications: Web Application Security Secrets and Solutions von Joel Scambray, Vincent Liu und Caleb Sima beim Verlag Mcgraw-Hill Professional; 3. Auflage. (1. November 2010); ISBN 978-0071740647

Einzelnachweise

Bearbeiten