Headless, Webapp, AMP: Im Digitalen und der IT gibt es viele Begriffe, die nicht jeder im täglichen Sprachgebrauch benutzt oder kennt. In unserer Serie “Techtalk mit Olli”, klären wir – ohne viele Fachbegriffe zu benutzen – auf, was sich dahinter verbirgt.
Wer im Digitalen oder der IT arbeitet, kommt um das Thema Sicherheit nicht drumherum und sollte wissen, was sich hinter der Abkürzung OWASP verbirgt. Die steht für Open Web Application Security Project (deutsch: Offenes Projekt für die Sicherheit von Webanwendungen). Hinter dem Projekt steckt eine Non Profit Organisation, an der weltweit zahlreiche Experten beteiligt sind. Ihr Ziel: die Sicherheit von Webanwendungen zu verbessern. Wie der Begriff open verrät, sind die von OWASP entwickelten Richtlinien und Werkzeuge frei verfügbar und für jeden zugänglich.
Was sind die OWASP Top Ten?
Eines dieser Werkzeuge ist die sogenannte OWASP Top Ten. Hierbei handelt es sich um ein regelmäßig aktualisiertes Standarddokument zum Thema Sicherheit von Webanwendungen. Die Top Ten listet die zehn wichtigsten Angriffsarten auf, mit der Kriminelle in eine Website oder Software eindringen könnten. Das sollen aber keine Tipps für Bösewichte sein, sondern deutlich machen, wo potenzielle Schwachstellen schlummern könnten. Denn nur, wer die kennt, kann an ihnen arbeiten.
Hier zwei Beispiele aus der Top Ten: Ein Angriff kann zum Beispiel durch Cross-Site Scripting (deutsch: Website-übergreifendes Skript) geschehen. Der Klassiker ist dabei, dass ein Angreifer in einer URL einer vertrauenswürdigen Quelle, zum Beispiel einer Bank, schädlichen Code versteckt und diesen Link per E-Mail an seine Opfer schickt. Ist die Website nicht ausreichend geschützt, kann durch das Aufrufen des Links schädlicher Code ausgeführt werden.
Eine andere Möglichkeit Formulareingaben auszunutzen, wäre eine Injection (deutsch: Einspritzung). Hier wird in der Regel eine Datenbank angegriffen, um Daten abzugreifen, zu verändern oder zu löschen.
Neben diesen ganzen Angriffsmöglichkeiten erklärt die OWASP auch, wie Entwickler erkennen können, ob die eigene Software für diese Angriffe anfällig ist. Außerdem werden Tipps gegeben, wie man sich gegen diese schützen kann.
Was bedeutet das für Sie als Kunden der BRUNS_digital?
Die Sicherheit unserer Anwendungen steht bei BRUNS_digital an erster Stelle. Hier sind die OWASP Top Ten besonders nützlich und gehören bei uns im Team zum Standard. So können wir Sicherheitslücken ausfindig machen, noch bevor das Produkt bei unseren Kunden im Einsatz ist. Sicher ist sicher!
