modul:m183:learningunits:lu04:01

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
modul:m183:learningunits:lu04:01 [2025/07/17 12:47] vdemirmodul:m183:learningunits:lu04:01 [2025/08/27 08:53] (aktuell) – [Risikoanalyse nach OWASP Risk-Rating-Methode] vdemir
Zeile 1: Zeile 1:
-====== LU04a - OWASP - TBD ======+====== LU04a - OWASP ======
  
 ===== Quellen ===== ===== Quellen =====
 +  * [[https://de.wikipedia.org/wiki/Open_Worldwide_Application_Security_Project|Wikipedia: OWASP]]
   * [[https://owasp.org/|OWASP-International]]   * [[https://owasp.org/|OWASP-International]]
-  * [[https://owasp.org/www-project-top-ten/|OwAPS-TopTen]] +  * [[https://owasp.org/www-project-top-ten/|OWAPS-TopTen]] 
 +  * {{ :modul:m183:learningunits:lu04:owasp_top_10-2017_de_v1.0.pdf | OWASP-TopTen 2017}}
  
 ===== Lernziele ===== ===== Lernziele =====
-  - Das Akronym CIA nennen und erklären können. +  - Das Akronym OWASP erklären können. 
-  - Beispiele für jede der 3 Aspekte des CIA-Triads nennen können.+  - Erklären können was OWASP ist und die Zielsetzung beschreiben können. 
 +  Vorteile von OWASP aufzählen können. 
 +  - Das Konzept des Risikorating erklären können.
  
-Die CIA-Triadeauch //Dimensionen der IT-Sicherheit// bezeichnet, ist ein Modelldas die drei grundlegenden Schutzziele der Informationssicherheit definiert//Confidentiality (Vertraulichkeit)Integrity (Integrität) und Availability (Verfügbarkeit)//. Es dient als Leitfaden für die Entwicklung von Sicherheitsrichtlinien und -kontrollenum Daten und Systeme vor Bedrohungen zu schützenFolglich ist jeder Angriff auf ein Systemgleichzeitig ein Angriff auf mindestens ein Dimension des CIA-Triad.+===== OWASP in a nutshell ==== 
 +**OWASP** steht für **Open Worldwide Application Security Project** und ist eine internationalegemeinnützige (Non-Profit) Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat. Das ZielEntwicklerUnternehmen und Sicherheitsverantwortliche mit frei zugänglichen InformationenTools und Best Practices zu unterstützen – ganz ohne kommerzielle InteressenOWASP ist besonders in der Webentwicklung bekanntda es praktische Hilfen zur Identifikation und Absicherung von Sicherheitslücken bietet.
  
-{{:modul:m183:learningunits:lu03:cia-triad-infographic.png?600CIA-Triad Explained}}+{{:modul:m183:learningunits:lu04:owasp.jpg?400|}}
  
-===== Was verstehen wir unter dem CIA-Triad? ===== +Das bekannteste Projekt ist die **OWASP Top 10**: eine regelmäßig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken bei Webanwendungendarunter Klassiker wie **Injection (z. B. SQL-Injection)****Broken Authentication**, **Security Misconfiguration** oder **Insecure Design**. Diese Liste dient als Referenz für Entwickler und Entscheidungsträger, um Schwachstellen frühzeitig zu erkennen und zu vermeiden.
-Die CIA-Triade ist ein fundamentales Konzept in der Informationssicherheit, das in vielen Bereichen Anwendung findet, wie beispielsweise bei der Entwicklung von Sicherheitsrichtliniender Bewertung von Risiken und der Reaktion auf Sicherheitsvorfälle+
  
-===== CIA-Triad = 3 Dimensionen der IT-Sicherheit ==== +{{:modul:m183:learningunits:lu04:owasp-top-10-vulnerabilities.jpg?800|}}
-  * **Confidentiality**  +
-    * = Vertraulichkeit  +
-    * Die Gewährleistung, dass Informationen nur autorisierten Personen oder Systemen zugänglich sind. Das bedeutet, dass unbefugte Zugriffe auf sensible Daten verhindert werden müssen.   +
-  * **Integrity**  +
-    * = Integrität/Vollständigkeit +
-    * Es bezieht sich auf die Gewährleistung der Genauigkeit und Zuverlässigkeit von Daten. Es ist wichtig, dass Daten nicht unbefugt verändert oder manipuliert werden können.  +
-  * **Availability**  +
-    * = Verfügbarkeit +
-    * Das bedeutet, dass Informationen und Systeme für autorisierte Benutzer zugänglich sein müssen, wenn sie benötigt werden. Die Verfügbarkeit ist entscheidend für den reibungslosen Betrieb von Unternehmen und Organisationen. |+
  
 +Neben der Top 10 stellt OWASP viele weitere Projekte und Werkzeuge bereit, z. B. **ZAP (Zed Attack Proxy)** zur automatisierten Sicherheitsüberprüfung oder das **Cheat Sheet Series**, eine Sammlung kompakter Empfehlungen zu sicheren Entwicklungspraktiken.
 +
 +OWASP fördert auch den Austausch in der Community: In lokalen Chapters, auf Konferenzen und über Online-Plattformen werden Erfahrungen geteilt und Sicherheitswissen verbreitet – für alle offen, die Software ein kleines bisschen weniger angreifbar machen wollen.
 +
 +===== Risikoanalyse nach OWASP Risk-Rating-Methode =====
 +
 +{{:modul:m183:learningunits:lu04:risikorating_konzept.png?600|}}
 +
 +Die Risikoanalyse der OWASP Top 10 basiert auf der **OWASP Risk-Rating-Methode**. Ziel ist es, Schwachstellen danach zu bewerten, welches Risiko sie für eine typische Webanwendung darstellen. Dabei werden **Wahrscheinlichkeit** (z. B. Verbreitung, Ausnutzbarkeit, Auffindbarkeit) und **Auswirkungen** (z. B. technische oder geschäftliche Folgen) berücksichtigt.
 +
 +Die Methode ist **anwendungsspezifisch unabhängig**, also eher allgemein gehalten. Sie beurteilt nicht, wie stark eine konkrete Anwendung gefährdet ist, sondern bewertet Schwachstellen allgemein, um Sicherheitsbewusstsein zu schaffen.
 +
 +Die Risikobewertung erfolgt auf Basis von vier Faktoren:
    
-===== Zusatzmaterial =====+  - **Ausnutzbarkeit** 
 +  - **Verbreitung** 
 +  - **Auffindbarkeit** 
 +  - **Technische Auswirkungen** 
 + 
 +Jeder dieser Faktoren wird auf einer Skala von 1 (niedrig) bis 3 (hoch) bewertet. Daraus ergibt sich ein Risiko-Wert: 
 + 
 +  * **Durchschnitt der drei Wahrscheinlichkeits-Faktoren** 
 +  * Multipliziert mit dem Wert für die Auswirkungen 
 + 
 +**Beispiel:** 
 +  * Ausnutzbarkeit 3, Verbreitung 3, Auffindbarkeit 3 → Durchschnitt 
 +  * Technische Auswirkung 
 +  * **Risiko 3 × 2 6** 
 + 
 +Wichtig: Diese Methode **berücksichtigt keine Bedrohungsquellen oder konkreten Unternehmenskontexte**. Sie dient ausschließlich zur generellen Einstufung von Risiken – nicht zur Anwendung individueller Sicherheitsbewertungen. 
 + 
 +===== OWASP-Risiko-Rating 2017 ===== 
 +{{:modul:m183:learningunits:lu04:owasp-topten_2017.png?800|}} 
 + 
 +---- 
 +[[https://creativecommons.org/licenses/by-nc-sa/4.0/|{{https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png}}]] Volkan Demir 
 + 
 + 
  
-{{ :modul:m183:learningunits:lu03:what_is_the_cia_triad.mp4 | Lernvideo Englosch: What is the CIA-Triad?}} 
  • modul/m183/learningunits/lu04/01.1752749230.txt.gz
  • Zuletzt geändert: 2025/07/17 12:47
  • von vdemir