Bis vor Kurzem war Julian Totzek-Hallhuber von Veracode noch ein großer Fan der OWASP Top 10, die Rangliste der zehn größten Sicherheitsrisiken für Web-Anwendungen. Was ist da passiert?
Das wurde auch Zeit: das Open Web Application Security Project (OWASP) hat seit 2013 keine neuen Risiken mehr in die bekannte Top-10-Liste aufgenommen. Dabei ist diese Liste für viele Unternehmen die Basis ihrer Anwendungssicherheit – entweder als strategische Orientierungshilfe oder zur Prioritätensetzung. Nun endlich, am 10. April 2017, hat OWASP seinen Release Candidate 2017 herausgebracht. Die finale Version soll im Juli oder August erscheinen. Bis zum 30. Juni kann man öffentlich noch Kommentare zur neuen Liste einreichen.
Keine neuen Erkenntnisse
Viel interessanter als die neuen Risiken auf der Liste sind die, die sich nicht geändert haben: Das erste Update in vier Jahren bringt nämlich nur zwei signifikante Änderungen – und keine von beiden unter den Top-Risiken. Das beweist, dass immer wieder die gleichen Fehler und Lücken im Code auftauchen und scheinbar nicht repariert werden, obwohl das meist nicht schwer ist. Viele Entwickler haben immer noch nicht verstanden, was sichere Programmiertechniken sind und wie man sie anwendet. Davon legt die neue alte Liste beredtes Zeugnis ab.
Die wenigen neuen Punkte sind so neu nicht: A4 (Broken Access Control) ist eine Kombination und Neudefinition aus A4 und A7 der letzten Topliste von 2013. Und davor war Broken Access Control die Kategorie A2 der 2004-er-Liste. Man sieht: die Risiken ändern sich nicht, sie werden nur durcheinandergewürfelt. Unternehmen haben zwar verstanden, dass sie Anwendungssicherheit brauchen – aber um diese verbreiteten Bedrohungen zu beseitigen, hat das Engagement scheinbar seit 2004 nicht ausgereicht.
Am Ziel vorbei
Die signifikanten Newcomer der Liste sind erstens API Security und zweitens die Empfehlung, sich auf Runtime Protection zu fokussieren. Schon die Aufnahme der API Security ist kein wirkliches Update: A10 (Underprotected APIs) doppelt sich mit bestehenden Kategorien; A1 deckt bereits Injection Vulnerabilities ab, A10 sagt im Prinzip nur: “Injection Vulnerabilities gibt es auch in APIs.” Wow. Wirklich?
Digitalisierung fängt mit Software Defined Networking an
In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.
Noch verwirrender ist der neue Punkt A7, Insufficient Attack Protection. Im Entwurf heißt es: “Der Mehrheit der Anwendungen und APIs mangelt es an der grundlegenden Fähigkeit, manuelle und automatische Attacken zu entdecken, darauf zu reagieren und sie zu verhindern. Attack Protection ist weit mehr als einfache Input-Validierung; es geht darum, Exploit-Versuche automatisch zu entdecken, zu loggen, darauf zu reagieren und sie am besten ganz zu verhindern. Anwendungs-Owner müssen zudem im der Lage sein, schnell zu patchen, um sich gegen Angriffe zu schützen.” Mit dieser Neuerung ist die OWASP-Liste meiner Meinung nach völlig vom Weg abgekommen.
Risiken statt Lösungen!
Die OWASP Top 10 ist seit ihrer Eingliederung in PCI-DSS ein beliebter Standard für die Messung der Anwendungssicherheit. Anhand der Liste konnten Unternehmen sehen, wie man verschiedene Schwachstellen vermeiden und reparieren kann. A7 dagegen klingt nicht länger wie ein Sicherheitsratgeber, sondern wie ein Versuch, bestimmte Technologien zu pushen. Es ist klar, dass Runtime Protection eine interessante und wichtige Technologie ist, die heute mit immer kürzeren Entwicklungszyklen ein immer wichtigerer Teil der Anwendungssicherheit wird. Doch Protection, der Schutz selbst, ist rechtwinklig zum Sinn und Zweck der Liste, nämlich die wichtigsten Risiken aufzuzeigen.
Optimierungsbedarf bei Logistikprozessen?
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Wenn die OWASP sich von Schwachstellen ab- und Lösungen zuwendet, wird ihre Mission unklar. Wieso landet “unzureichender Schutz” auf der Liste, während “unzureichende Tests” fehlen? Wo bleiben die Themen Code-Abdeckung, Risikomodellierung oder Entwicklerweiterbildung? All diese Teile des Anwendungs-Lifecycles sind wichtige Faktoren in der Anwendungssicherheit.
Wieder auf Spur kommen
Anwendungssicherheit ist umfassender als jede einzelne Technologie; eine Wunderwaffe gibt es nicht. Wer Anwendungen sichern will, braucht eine Kombination aus Menschen, Prozessen und Technologie – automatisiert wie manuell – über den ganzen Software Development Lifecycle.
Die neue Topliste scheint sich primär auf kosmetische Änderungen zu fokussieren. Brauchen wir wirklich eine Neuausgabe dieser Liste, wenn sie für Verwerfungen bei den Unternehmen sorgt, die ihre Sicherheit an ihr messen? Bis zum 30. Juni können Sie selbst entscheiden und die Änderungen noch kommentieren.