modul:m183:learningunits:lu04:01

Action unknown: linkbutton

LU04a - OWASP

Quellen

Lernziele

  1. Das Akronym OWASP erklären können.
  2. Erklären können was OWASP ist und die Zielsetzung beschreiben können.
  3. Vorteile von OWASP aufzählen können.
  4. Das Konzept des Risikorating erklären können.

OWASP in a nutshell

OWASP steht für Open Worldwide Application Security Project und ist eine internationale, gemeinnützige (Non-Profit) Organisation, die sich der Verbesserung der Sicherheit von Software verschrieben hat. Das Ziel: Entwickler, Unternehmen und Sicherheitsverantwortliche mit frei zugänglichen Informationen, Tools und Best Practices zu unterstützen – ganz ohne kommerzielle Interessen. OWASP ist besonders in der Webentwicklung bekannt, da es praktische Hilfen zur Identifikation und Absicherung von Sicherheitslücken bietet.

Das bekannteste Projekt ist die OWASP Top 10: eine regelmäßig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken bei Webanwendungen, darunter Klassiker wie Injection (z. B. SQL-Injection), Broken Authentication, Security Misconfiguration oder Insecure Design. Diese Liste dient als Referenz für Entwickler und Entscheidungsträger, um Schwachstellen frühzeitig zu erkennen und zu vermeiden.

Neben der Top 10 stellt OWASP viele weitere Projekte und Werkzeuge bereit, z. B. ZAP (Zed Attack Proxy) zur automatisierten Sicherheitsüberprüfung oder das Cheat Sheet Series, eine Sammlung kompakter Empfehlungen zu sicheren Entwicklungspraktiken.

OWASP fördert auch den Austausch in der Community: In lokalen Chapters, auf Konferenzen und über Online-Plattformen werden Erfahrungen geteilt und Sicherheitswissen verbreitet – für alle offen, die Software ein kleines bisschen weniger angreifbar machen wollen.

Risikoanalyse nach OWASP Risk-Rating-Methode

Die Risikoanalyse der OWASP Top 10 basiert auf der OWASP Risk-Rating-Methode. Ziel ist es, Schwachstellen danach zu bewerten, welches Risiko sie für eine typische Webanwendung darstellen. Dabei werden Wahrscheinlichkeit (z. B. Verbreitung, Ausnutzbarkeit, Auffindbarkeit) und Auswirkungen (z. B. technische oder geschäftliche Folgen) berücksichtigt.

Die Methode ist anwendungsspezifisch unabhängig, also eher allgemein gehalten. Sie beurteilt nicht, wie stark eine konkrete Anwendung gefährdet ist, sondern bewertet Schwachstellen allgemein, um Sicherheitsbewusstsein zu schaffen.

Die Risikobewertung erfolgt auf Basis von vier Faktoren:

  1. Ausnutzbarkeit
  2. Verbreitung
  3. Auffindbarkeit
  4. Technische Auswirkungen

Jeder dieser Faktoren wird auf einer Skala von 1 (niedrig) bis 3 (hoch) bewertet. Daraus ergibt sich ein Risiko-Wert:

  • Durchschnitt der drei Wahrscheinlichkeits-Faktoren
  • Multipliziert mit dem Wert für die Auswirkungen

Beispiel:

  • Ausnutzbarkeit = 3, Verbreitung = 3, Auffindbarkeit = 3 → Durchschnitt = 3
  • Technische Auswirkung = 2
  • Risiko = 3 × 2 = 6

Wichtig: Diese Methode berücksichtigt keine Bedrohungsquellen oder konkreten Unternehmenskontexte. Sie dient ausschließlich zur generellen Einstufung von Risiken – nicht zur Anwendung individueller Sicherheitsbewertungen.

OWASP-Risiko-Rating 2017

Volkan Demir

  • modul/m183/learningunits/lu04/01.txt
  • Zuletzt geändert: 2025/08/27 08:53
  • von vdemir