zurück zur Übersicht

Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen

wasp-538471_mcImmer mehr Menschen verwenden in ihrem Alltag Webanwendungen, sei es auf der Arbeit oder privat daheim. Webanwendungen werden beispielsweise verwendet, um Informationen mit anderen Nutzern in Foren auszutauschen, von der Couch aus gemütlich in Webshops einzukaufen oder auch schnell eine Onlineüberweisung zu tätigen. Auch beruflich werden immer mehr Geschäftsprozesse zwischen Geschäftspartnern verstärkt im Web abgewickelt.

Webanwendungen bergen jedoch auch ein großes Gefahrenpotenzial. Ein berühmtes Opfer von Angriffen auf Webanwendungen war Sony im Jahre 2011.  Kriminelle führten erfolgreich einen Angriff auf das Playstation-Netzwerk durch. Die Angreifer erbeuteten Millionen von Kundendaten. Es wurden persönliche Daten wie Passwörter, Adressen und Kreditkartennummern gestohlen. Nicht nur der Betreiber der Webseite, sondern auch die Kunden waren Opfer eines Datendiebstahles. Auch die ungewollte Preisgabe von kritischen Mitarbeiterdaten, Produktgeheimnissen oder Vertragsdaten können einen enormen Wirtschaftsschaden für das Unternehmen verursachen. Insbesondere, wenn das Internet ein großer Umsatzträger ist und einen großen Einfluss auf den Geschäftserfolg des Unternehmens hat. Zudem wäre ein erfolgreicher Angriff ein großer Imageschaden, der dazu führen kann, dass sich Kunden zukünftig der Konkurrenz zuwenden und die attackierte Webanwendung meiden. Um sich vor Angriffen zu schützen und solche folgenschweren Auswirkungen zu verhindern, können Webanwendungen mithilfe einer Sicherheitsanalyse auf mögliche Sicherheitslücken untersucht werden. Hierbei werden die gleichen beziehungsweise ähnlichen Verfahren angewendet, die bei einem realen Angriff durch einen Angreifer verwendet werden um Schwachstellen zu identifizieren.

Es existieren bereits diverse Dokumentationen, wie eine Sicherheitsanalyse von Webanwendungen durchzuführen ist. Hierzu zählen unter anderem die Studie „Durchführungskonzept für Penetrationstests“ des BSI, „OWASP Testing Guide“, „Guideline on Network Security Testing“ (NIST) und  „Sicherheitsüberprüfung mithilfe von ’Tiger-Teams’“ (SI, ISACA). Im Vortrag „Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen“ werden verschiedene Ansätze beleuchtet und die Stärken und Schwächen Einzelner aufgezeigt. Zusätzlich wird eine Sicherheitsanalyse anhand eines selbstentwickelten Konzepts durchgespielt, welches von der Auftragsanfrage bis zur Übergabe des Abschlussberichtes Vorteile der erläuterten Verfahren vereint. Der Vortrag wird im Rahmen des OWASP Stammtischs Frankfurt (30.07.2015, ab 19:30h) gehalten.

Eckdaten des OWASP Stammtisches Frankfurt

Wann? 30.07.2015, ab 19:30h; immer am letzten Donnerstag des Monats
Wo? Tower 185, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main
Ok, und nun? Zwecks Planung bitten wir alle neugierigen und interessierten, sich vorab anzumelden unter http://doodle.com/ez7k3x4uqav4h2ef

Ok, und was erwartet mich?

  • Ein geselliger Abend mit einem Vortrag von Katharine Brylski mit dem Titel: „Ein Best-of-Konzept für Sicherheitsanalysen von Webanwendungen“
  • Erfahrungsaustausch und eine grobe Planung für den kommenden Stammtisch am 27.08.2015

Weitere Einzelheiten unter https://www.owasp.de/frankfurt/

P.S.: Für den Konferenzraum braucht man eine Zutrittsberechtigung. Wir freuen uns sehr, wenn du dich kurz vor 19:30 Uhr im Foyer **pünktlich** einfindest. Wir gehen dann gemeinsam zum Konferenzraum. bei späterer Ankunft bitte bei der Rezeption nach dem OWASP Stammtisch fragen. Wir holen dich dann ab.


Quellen:

BSI: Sicherheit von Webanwendungen – Maßnahmenkatalog und Best Practices, Bundesamt für Sicherheit in der Informationstechnik, 2006
Jurran, Nico: Angriff auf Playstation Network: Persönliche Daten von Millionen Kunden gestohlen, 2011.

Bild: ©iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar