Germany/Projekte/Top 10-2017 Nächste Schritte für Organisationen - Revision history

T.Gigler: BottomAdvancedTemplate: added '|type=box'

2018-12-18T22:46:06Z

BottomAdvancedTemplate: added '|type=box'

T.Gigler: Redaktionelle Änderung

2018-12-18T22:39:00Z

Redaktionelle Änderung

T.Gigler: Created Page

2018-12-18T22:34:04Z

Created Page

New page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=whatsNextforSecurityTesters|year=2017|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=whatsNextforApplicationManagers|language=de}}
|year=2017
|language=de
}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Starten Sie jetzt Ihre Offensive zur Anwendungssicherheit!|year=2017|language=de}}
Anwendungssicherheit ist nicht mehr länger optional. Organisationen müssen leistungsfähige Prozesse und Ressourcen zur Absicherung ihrer Anwendungen und APIs schaffen, um im Umfeld einer steigenden Zahl von Angriffen einerseits und regulatorischen Vorschriften andererseits bestehen zu können. Auf Grund der atemberaubenden Mengen an Code in zahlreichen Anwendungen und APIs haben viele Organisationen Probleme, mit dem enormen Umfang an Sicherheitslücken zurecht zu kommen. OWASP empfiehlt den Aufbau eines Programms zur Anwendungssicherheit, um einen Überblick über die Sicherheitslage ihrer Anwendungen und APIs zu erhalten und diese zu verbessern. Um das Sicherheitsniveau zu erhöhen, müssen viele Unternehmensbereiche effizient zusammenarbeiten, von Security und Audit über die Entwicklungsabteilung und das Business bis hin zum Management. Die Sicherheitsarchitektur muss transparent und messbar sein, damit alle Beteiligten die Ziele der Anwendungssicherheit im Unternehmen nachvollziehen zu können. Konzentrieren Sie sich auf die Aktivitäten und Resultate, die tatsächlich zur Unternehmenssicherheit beitragen, indem Sie Risiken eliminieren oder reduzieren. [[OWASP_SAMM_Project|OWASP SAMM]] und der [[Application_Security_Guide_For_CISOs|OWASP Application Security Guide for CISOs]] sind die Quellen für die meisten der Schlüsselaktivitäten in dieser Liste.
<br/ style="font-size:5px">

{{Top_10:GradientBox|year=2017}}
Start 
: Dokumentieren Sie alle Anwendungen und die zugehörigen Datenbestände. Größere Organisationen sollten die Einführung einer Configuration Management Database (CMDB) in Betracht ziehen. Führen Sie einen [[SAMM_-_Strategy_&_Metrics_-_1|Anwendungssicherheits-Leitfaden]] ein und fördern Sie dessen Akzeptanz. Führen Sie eine [[SAMM_-_Strategy_&_Metrics_-_3|Gap-Analyse der Fähigkeiten Ihrer Organisation zu vergleichbaren Organisationen]] durch, um wichtige Verbesserungsfelder und einen Maßnahmenplan festzulegen. Führen Sie mit Zustimmung der Geschäftsleitung eine [[SAMM_-_Education_&_Guidance_-_1|Kampagne zur Sensibilisierung für Fragen der Anwendungssicherheit]] für Ihre gesamte IT-Organisation durch.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Risiko-basierter Ansatz 
: Identifizieren Sie den [[SAMM_-_Strategy_&_Metrics_-_2|Schutzbedarf]] Ihrer [[SAMM_-_Strategy_&_Metrics_-_2|Anwendungen]] aus geschäftlicher Sicht. Das sollte zum Teil durch Datenschutzgesetze und andere Vorschriften motiviert sein, die für die zu schützenden Datenbestände gelten. Erstellen Sie ein [[OWASP_Risk_Rating_Methodology|Risikobewertungsmodell]] mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Bereitschaft Ihrer Organisation berücksichtigt, Risiken einzugehen. Messen und priorisieren Sie dementsprechend alle Ihre Anwendungen und APIs. Fügen Sie die Ergebnisse in Ihre CMDB ein. Legen Sie Prüfungsrichtlinien fest, um einen angemessenen Abdeckungsgrad und den geforderten Reifegrad festzulegen.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Sorgen Sie für eine stabile Grundlage 
: Erstellen Sie [[SAMM_-_Policy_&_Compliance_-_2|Richtlinien und Standards]] für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen. Definieren Sie einen [[OWASP_Security_Knowledge_Framework|allgemeingültigen Basissatz wiederverwendbarer Sicherheitsmaßnahmen]],die diese Richtlinien und Standards ergänzen und stellen Sie Nutzungshinweise für Design und Entwicklung bereit. * Etablieren Sie einen [[SAMM_-_Education_&_Guidance_-_2|Trainings-Plan für Anwendungssicherheit]] that is required and targeted to different development roles and topics.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Integrieren Sie Sicherheit in Ihre bestehenden Prozesse 
: Legen Sie Ihre Aktivitäten bzgl. [[SAMM_-_Construction|sicherer Implementierung]] und [[SAMM_-_Verification|Verifikation]] fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese umfassen die [[SAMM_-_Threat_Assessment_-_1|Modellierung der Bedrohungen]], sicheres Design und [[SAMM_-_Design_Review_-_1|Design-Review]], sichere Programmierung und [[SAMM_-_Code_Review_-_1|Code-Review]], [[SAMM_-_Security_Testing_-_1|Penetrationstests]]und Mängelbeseitigung. Stellen Sie Experten und [[SAMM_-_Education_&_Guidance_-_3|unterstützende Dienste bereit, die die Entwickler und die Projektteams]] bei der erfolgreichen Umsetzung unterstützen.
{{Top 10:GrayBoxEnd|year=2017}}
{{Top_10:GradientBox|year=2017}}
Sorgen Sie für Sichtbarkeit beim Management 
: Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Budget-Entscheidungen voran, die auf diesen Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheitspraktiken und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen, Fehlerdichte nach Art und Anzahl etc. Analysieren Sie Ihre Implementierungs- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran. Lernen Sie aus Fehlern und setzen Sie positive Anreize um Verbesserungen zu fördern.
{{Top 10:GrayBoxEnd|year=2017}}

{{Top_10_2013:BottomAdvancedTemplate
|useprev=2017PrevLink
|prev={{Top_10:LanguageFile|text=whatsNextforSecurityTesters|year=2017|language=de}}
|usenext=2017NextLink
|next={{Top_10:LanguageFile|text=whatsNextforApplicationManagers|language=de}}
|year=2017
|language=de
}}

@@ Line 22: / Line 22: @@
 {{Top_10:GradientBox|year=2017}}
 <b>Sorgen Sie für eine stabile Grundlage </b>
-: <i>Erstellen Sie <u>[[SAMM_-_Policy_&_Compliance_-_2|Richtlinien und Standards]]</u> für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen.<br></i> Definieren Sie einen <u>[[OWASP_Security_Knowledge_Framework|allgemeingültigen Basissatz wiederverwendbarer Sicherheitsmaßnahmen]]</u>,die diese Richtlinien und Standards ergänzen und stellen Sie Nutzungshinweise für Design und Entwicklung bereit.<br>* Etablieren Sie einen <u>[[SAMM_-_Education_&_Guidance_-_2|Trainings-Plan für Anwendungssicherheit]]</u> that is required and targeted to different development roles and topics.
+: <i>Erstellen Sie <u>[[SAMM_-_Policy_&_Compliance_-_2|Richtlinien und Standards]]</u> für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen.<br></i> Definieren Sie einen <u>[[OWASP_Security_Knowledge_Framework|allgemeingültigen Basissatz wiederverwendbarer Sicherheitsmaßnahmen]]</u>, die diese Richtlinien und Standards ergänzen und stellen Sie Nutzungshinweise für Design und Entwicklung bereit.<br>* Etablieren Sie einen <u>[[SAMM_-_Education_&_Guidance_-_2|Trainings-Plan für Anwendungssicherheit]]</u> das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.
 {{Top 10:GrayBoxEnd|year=2017}}
 {{Top_10:GradientBox|year=2017}}
 <b>Integrieren Sie Sicherheit in Ihre bestehenden Prozesse </b>
-: <i>Legen Sie Ihre Aktivitäten bzgl. <u>[[SAMM_-_Construction|sicherer Implementierung]]</u> und <u>[[SAMM_-_Verification|Verifikation]]</u> fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese umfassen die <u>[[SAMM_-_Threat_Assessment_-_1|Modellierung der Bedrohungen]]</u>, sicheres Design und <u>[[SAMM_-_Design_Review_-_1|Design-Review]]</u>, sichere Programmierung und <u>[[SAMM_-_Code_Review_-_1|Code-Review]]</u>, <u>[[SAMM_-_Security_Testing_-_1|Penetrationstests]]</u>und Mängelbeseitigung.<br></i> Stellen Sie Experten und <u>[[SAMM_-_Education_&_Guidance_-_3|unterstützende Dienste bereit, die die Entwickler und die Projektteams]]</u> bei der erfolgreichen Umsetzung unterstützen.
+: <i>Legen Sie Ihre Aktivitäten bzgl. <u>[[SAMM_-_Construction|sicherer Implementierung]]</u> und <u>[[SAMM_-_Verification|Verifikation]]</u> fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese umfassen die <u>[[SAMM_-_Threat_Assessment_-_1|Modellierung der Bedrohungen]]</u>, sicheres Design und <u>[[SAMM_-_Design_Review_-_1|Design-Review]]</u>, sichere Programmierung und <u>[[SAMM_-_Code_Review_-_1|Code-Review]]</u>, <u>[[SAMM_-_Security_Testing_-_1|Penetrationstests]]</u> und Mängelbeseitigung.<br></i> Stellen Sie Experten und <u>[[SAMM_-_Education_&_Guidance_-_3|unterstützende Dienste bereit, die die Entwickler und die Projektteams]]</u> bei der erfolgreichen Umsetzung unterstützen.
 {{Top 10:GrayBoxEnd|year=2017}}
 {{Top_10:GradientBox|year=2017}}

@@ Line 34: / Line 34: @@
 {{Top_10_2013:BottomAdvancedTemplate
      |useprev=2017PrevLink
      |prev={{Top_10:LanguageFile|text=whatsNextforSecurityTesters|year=2017|language=de}}