Zum Experten-Blog

OWASP Top Ten: Mehr Sicherheit für Ihre Website

Durch die Einführung neuer Sicherheitsmassnahmen hat Unic kontinuierlich in die Verbesserung der Sicherheit von Webanwendungen investiert. Dazu gehören kostenlose Let's Encrypt-Zertifikate, Web Application Firewalls, DDos Protection, Vulnerability Scanning und vieles mehr. In diesem Blogbeitrag zeigen wir, wie diese Sicherheitsmassnahmen dazu beitragen, die Risiken aus den OWASP Top Ten zu mitigieren.

Zu allererst: Was ist die OWASP Top Ten?

Das Open Web Application Security Project (OWASP) ist eine offene Community, die es Unternehmen ermöglicht, vertrauenswürdige Anwendungen und APIs zu entwickeln, zu erwerben und zu warten. Die erste OWASP-Top-Ten-Liste wurde 2013 veröffentlicht. Seitdem wird die Liste regelmässig mit den zehn wichtigsten Sicherheitsrisiken für Webanwendungen aktualisiert und auf der Grundlage eines breiten Konsenses und gemeinschaftlicher Beiträge erstellt. Ziel ist es, das Bewusstsein für Anwendungssicherheit zu schärfen, indem einige der kritischsten Risiken für Unternehmen identifiziert werden. Viele Standards, Bücher, Tools und Organisationen verweisen auf das Top-Ten-Projekt. Dazu gehören MITRE, PCI DSS, Defense Information Systems Agency (DISA-STIG), die United States Federal Trade Commission (FTC) und viele mehr. Obwohl das ursprüngliche Ziel des OWASP-Top-Ten-Projekts darin bestand, das Bewusstsein bei Entwicklern und Managern zu schärfen, hat es sich zu dem Standard für Anwendungssicherheit entwickelt [1].

Unsere Sichtweise auf die OWASP Top Ten

Bei Unic sehen wir die OWASP Top Ten Liste regelmässig als einen Muss-Standard in Kundenanforderungen und RFI-/RFP-Dokumenten. Deshalb haben wir kontinuierlich in die Verbesserung der Sicherheit von Webanwendungen investiert und neue Funktionen wie folgt eingeführt:

  • Kostenlose Let's Encrypt Zertifikate
  • Web Application Firewall (WAF)
  • DDoS-Schutz
  • Schwachstellen-Scanning
  • ISO 27001 Zertifizierung
  • Überwachung der Richtlinien zur Inhaltssicherheit

In dieser Tabelle finden Sie einen Auszug aus unseren Sicherheitsmassnahmen auf der linken Seite und die OWASP-Top-Ten in den oberen Spalten. Y und N geben an, ob diese Massnahme dazu beiträgt, ein bestimmtes Risiko zu minimieren. Der Score auf der rechten Seite zeigt an, wie gross die Risikowirkung einer einzelnen Kennzahl ist. Der Wert am unteren Rand gibt an, wie viele Kennzahlen ein einzelnes Risiko adressieren.

Und wie macht Unic Anwendungen tatsächlich sicherer?

Es wird deutlich, dass technische Low-Level Massnahmen wie WAF, Backup, BGP Monitoring und alle Massnahmen im Zusammenhang mit DNS Security und TLS einen hohen Gesamteinfluss auf die Sicherheit von Webanwendungen haben. Diese Ergebnisse stehen im Einklang mit der Unic Web Application Security Policy. Die Richtlinie wurde 2018 eingeführt, um sicherzustellen, dass alle neuen Kundenprojekte eine Basissicherheit haben, die kontinuierlich verbessert werden kann.

Bei Unic muss jede Webanwendung die folgenden Anforderungen erfüllen, wenn Lösungen für unsere Kunden oder intern entwickelt werden:

  • Alle Websites müssen über TLS bereitgestellt werden; keine «Mixed-Security»-Inhalte
  • Alle Websites müssen die folgenden Headers implementieren: «X-Frame-Options» (und entsprechende «frame-ancestors» im CSP), «X-XSS-Protection», «X-Content-Type-Options» und «Strict-Transport-Security»
  • Alle Formulare müssen vor Spam und Bots geschützt sein (z. B. durch CAPTCHA oder andere geeignete Methoden)
  • TLS-Konfiguration und Zertifikate müssen mindestens die Note «A» auf ssllabs.com haben
  • Schwache Verschlüsselungsalgorithmen und Verschlüsselungen müssen deaktiviert werden
  • SSLv2 und SSLv3 müssen deaktiviert sein
  • SRI muss für Websites verwendet werden, die JavaScript oder Stylesheets aus fremden Quellen laden

Darüber hinaus ist es ein Muss, TLSv1.0 bei der Entwicklung von Lösungen für unsere Kunden oder intern zu deaktivieren. Ausserdem sollten Websites die folgenden Header implementieren:

  • Referrer-policy
  • Feature-Policy

Wir sind uns bewusst, dass diese Einstellungen nicht die höchstmöglichen Sicherheitseinstellungen darstellen und möglicherweise nicht für Webanwendungen mit sensiblen Informationen geeignet sind. Aber sie sind eine gute Ausgangsbasis bzw. ein Ausgangspunkt, um die Sicherheit kontinuierlich zu verbessern.

Mit dieser Richtlinie haben wir die Sicherheit der Website in unseren Kundenprojekten deutlich erhöht. Eine regelmässige Prüfung der Richtlinien werden wir weiterhin durchführen, um die Sicherheit von Daten und Webanwendungen auf ein neues Level zu heben.

Quellen:

[1] owasp.org

 

Datenschutz – wichtig ist nicht das Gesetz, sondern die Benutzer

Der Entscheid des Europäischen Gerichtshofes (EUGH), das Safe-Harbor-Abkommen als ungültig erklären zu lassen, hat den Blick vieler Unternehmen auf eine Stelle gelenkt, die im Tagesgeschäft nicht immer oberste Priorität geniesst – den Datenschutz.