https://wiki.owasp.org/index.php?action=history&feed=atom&title=Germany%2FProjekte%2FTop_10-2017_Sicherheitsrisiken_f%C3%BCr_AnwendungenGermany/Projekte/Top 10-2017 Sicherheitsrisiken für Anwendungen - Revision history2026-05-07T11:26:49ZRevision history for this page on the wikiMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=Germany/Projekte/Top_10-2017_Sicherheitsrisiken_f%C3%BCr_Anwendungen&diff=245904&oldid=prevT.Gigler: Internen Link zu 'noteAboutRisks' ergänzt2018-12-09T23:40:30Z<p>Internen Link zu 'noteAboutRisks' ergänzt</p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class='diff-marker' />
<col class='diff-content' />
<col class='diff-marker' />
<col class='diff-content' />
<tr style='vertical-align: top;' lang='en'>
<td colspan='2' style="background-color: white; color:black; text-align: center;">← Older revision</td>
<td colspan='2' style="background-color: white; color:black; text-align: center;">Revision as of 23:40, 9 December 2018</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l45" >Line 45:</td>
<td colspan="2" class="diff-lineno">Line 45:</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>| spezifisch | Difficult 1 | Uncommon 1 | Difficult 1 | Minor 1 | spezifisch  |</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>| spezifisch | Difficult 1 | Uncommon 1 | Difficult 1 | Minor 1 | spezifisch  |</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>----></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>----></div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Mit dem diesjährigen Dokument haben wir die Tabellen der Risikobewertung überarbeitet, um die Berechnung des Risiko nachvollziehbarer zu machen.<br>Für die Details der Verbesserungen sei hier auf den Abschnitt "<u>[<del class="diffchange diffchange-inline">+RISK.md Anmerkungen zum Risikobegriff</del>]</u>" verwiesen.<br></div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Mit dem diesjährigen Dokument haben wir die Tabellen der Risikobewertung überarbeitet, um die Berechnung des Risiko nachvollziehbarer zu machen.<br>Für die Details der Verbesserungen sei hier auf den Abschnitt "<u<ins class="diffchange diffchange-inline">><b</ins>>[<ins class="diffchange diffchange-inline">[{{Top_10:LanguageFile|text=documentRootTop10New|language=de|year=2017 }}_{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}|{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}]</ins>]<ins class="diffchange diffchange-inline"></b></ins></u>" verwiesen.<br></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Jedes Unternehmen und jede Organisation unterscheidet sich von allen anderen. Ebenso die Angreifer, deren Ziele und die Auswirkungen eines Sicherheitsvorfalles. Wenn beispielsweise eine Organisation ein Content-Management-System (CMS) für eine öffentliche Webseite nutzt, eine andere Firma das gleiche CMS nutzt, um darin (datenschutzrelevante) Patientendaten zu speichern, so können Sicherheitsvorfälle auch bei Einsatz gleicher Software sehr unterschiedliche Auswirkungen haben. Es ist also notwendig bei der Risikobewertung die Risiken, die sich aus der Tätigkeit des Unternehmens ergeben im Blick zu haben und diese auch wirklich umfassen zu verstehen.<br></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Jedes Unternehmen und jede Organisation unterscheidet sich von allen anderen. Ebenso die Angreifer, deren Ziele und die Auswirkungen eines Sicherheitsvorfalles. Wenn beispielsweise eine Organisation ein Content-Management-System (CMS) für eine öffentliche Webseite nutzt, eine andere Firma das gleiche CMS nutzt, um darin (datenschutzrelevante) Patientendaten zu speichern, so können Sicherheitsvorfälle auch bei Einsatz gleicher Software sehr unterschiedliche Auswirkungen haben. Es ist also notwendig bei der Risikobewertung die Risiken, die sich aus der Tätigkeit des Unternehmens ergeben im Blick zu haben und diese auch wirklich umfassen zu verstehen.<br></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen um das allgemeine Verständnis zu erhöhen und möglichst wenig zu verwirren. Siehe auch: <u>[https://cwe.mitre.org/data/index.html Common Weakness Enumeration]</u> (CWE).</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen um das allgemeine Verständnis zu erhöhen und möglichst wenig zu verwirren. Siehe auch: <u>[https://cwe.mitre.org/data/index.html Common Weakness Enumeration]</u> (CWE).</div></td></tr>
</table>T.Giglerhttps://wiki.owasp.org/index.php?title=Germany/Projekte/Top_10-2017_Sicherheitsrisiken_f%C3%BCr_Anwendungen&diff=245903&oldid=prevT.Gigler: Created Page2018-12-09T23:37:36Z<p>Created Page</p>
<p><b>New page</b></p><div>{{Top_10_2013:TopTemplate<br />
|useprev=2017PrevLink<br />
|prev={{Top_10:LanguageFile|text=releaseNotes|year=2017|language=de}}<br />
|usenext=2017NextLink<br />
|next={{Top_10:LanguageFile|text=top10|year=2017|language=de}}<br />
|year=2017<br />
|language=de<br />
}}<br />
<!--- Risk - Application Security Risks / Risiko Sicherheitsrisiken für Anwendungen ---><br />
{{Top_10:SubsectionTableBeginTemplate|type=main}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=firstWhole|title=Was sind Sicherheitsrisiken für Anwendungen?|year=2017|language=de}}<br />
Angreifer können im Fall der Fälle viele unterschiedliche Angriffswege in einer Applikation ausnutzen, um Schaden für das Unternehmen oder die Organisation zu verursachen. Jeder einzelne dieser Wege stellt ein Risiko dar, das unter Umständen besondere Aufmerksamkeit bedarf.<br />
[[File:Risks-2017_de.png|frameless|650px|center]]<br />
Manche dieser Angriffswege sind sehr leicht zu finden und auszunutzen, bei anderen kann es bedeutend schwer werden.<br>So unterschiedlich die Wege, so unterschiedliche sind auch die Auswirkungen: Einige sind kaum erwähnenswert, andere könnten letztlich zum Untergang des Unternehmens führen. Das individuelle Risiko kann stets nur unter Beachtung aller relevanter Faktoren abgeschätzt werden: Dabei handelt es sich um die jeweiligen Wahrscheinlichkeiten, die mit Bedrohungs-quellen, Angriffsvektoren und Schwachstellen verbunden sind. Diese werden mit den zu erwartenden technischen Auswirkungen sowie den Auswirkungen auf das Unternehmen kombiniert und bestimmen damit das individuelle Gesamtrisiko.<br />
<br />
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=left|title=Was sind <u>meine</u> Risiken?|year=2017|language=de}}<br />
Die <u>[[Top10|OWASP Top 10]]</u> beschreibt die schwerwiegendsten Risiken von Webanwendungen, die für ein breites Spektrum an Organisationen relevant sind. Für jedes dieser zehn Risiken stellen wir Informationen zu den beeinflussen-den Faktoren und den technischen Auswirkungen zur Verfügung. Zur Einschätzung verwenden wir folgendes Bewertungsschema auf Basis der <u>[[OWASP_Risk_Rating_Methodology|OWASP-Risk-Rating-Methode]]</u>: <br />
<br />
<center><table style="align:center; border-collapse: collapse; text-align:center; <br />
margin: 0px 5px 0px 5px; border: 3px solid #444444; <br />
background-color: {{Top 10:BackgroundColor|year=2017}};<br />
padding=2; width: 97%;"><br />
<br />
<tr style="background-color: {{Top 10:BorderColor|year=2017}}; height: 2em; font-size: 90%; color: #FFFFFF; text-shadow: 2px 2px 8px #444444; "><br />
<th style="width: 16.5%; border: 3px solid #444444;">{{Top_10:LanguageFile|text=threatAgents|language=de}}</th><br />
<th style="width: 16.5%; border: 3px solid #444444;">{{Top_10:LanguageFile|text=exploitability|language=de}}</th><br />
<th style="width: 16.5%; border: 3px solid #444444;">{{Top_10:LanguageFile|text=weakness|language=de}} {{Top_10:LanguageFile|text=prevalence|language=de}}</th><br />
<th style="width: 16.5%; border: 3px solid #444444;">{{Top_10:LanguageFile|text=weakness|language=de}} {{Top_10:LanguageFile|text=detectability|language=de}}</th><br />
<th style="width: 16.5%; border: 3px solid #444444;">{{Top_10:LanguageFile|text=technicalImpacts|language=de}}</th><br />
<th style="width: 16.5%; border: 3px solid #444444;">{{Top_10:LanguageFile|text=businessImpacts|language=de}}</th><br />
</tr><br />
<br />
<tr><td style="font-weight: bold; font-size:100%; border: 3px solid #444444;" rowspan="3">{{Top_10:LanguageFile|text=appSpecific|language=de}}</td> <br />
{{Top_10-2017:SummaryTableTemplate|type=valueOnly|exploitability=3|prevalence=3|detectability=3|impact=3|language=de|year=2017|style=border: 3px solid #444444; font-size: 90% !important;}}<br />
<td style="font-weight: bold; font-size: 100%; border: 3px solid #444444; " rowspan="3">{{Top_10:LanguageFile|text=appBusinessSpecific|language=de}}</td></tr><br />
<tr><br />
{{Top_10-2017:SummaryTableTemplate|type=valueOnly|exploitability=2|prevalence=2|detectability=2|impact=2|language=de|year=2017|style=border: 3px solid #444444; font-size: 90% !important;}}</tr><br />
<tr><br />
{{Top_10-2017:SummaryTableTemplate|type=valueOnly|exploitability=1|prevalence=1|detectability=1|impact=1|language=de|year=2017|style=border: 3px solid #444444; font-size: 90% !important;}}</tr><br />
</table></center><br />
<!----<br />
| Bedro-<br>hungs-<br>quellen | Ausnutzbarkeit | Schwachstelle<br>Verbreitung | Schwachstelle<br>Auffindbarkeit | Technische<br>Auswirkungen | Auswirkun-<br>gen auf das<br>Unternehmen |<br />
| -- | -- | -- | -- | -- | -- |<br />
| Anwen- | Easy 3 | Widespread 3 | Easy 3 | Severe 3 | Daten- & |<br />
| dungs- | Average 2 | Common 2 | Average 2 | Moderate 2 | Geschäfts- |<br />
| spezifisch | Difficult 1 | Uncommon 1 | Difficult 1 | Minor 1 | spezifisch |<br />
----><br />
Mit dem diesjährigen Dokument haben wir die Tabellen der Risikobewertung überarbeitet, um die Berechnung des Risiko nachvollziehbarer zu machen.<br>Für die Details der Verbesserungen sei hier auf den Abschnitt "<u>[+RISK.md Anmerkungen zum Risikobegriff]</u>" verwiesen.<br><br />
Jedes Unternehmen und jede Organisation unterscheidet sich von allen anderen. Ebenso die Angreifer, deren Ziele und die Auswirkungen eines Sicherheitsvorfalles. Wenn beispielsweise eine Organisation ein Content-Management-System (CMS) für eine öffentliche Webseite nutzt, eine andere Firma das gleiche CMS nutzt, um darin (datenschutzrelevante) Patientendaten zu speichern, so können Sicherheitsvorfälle auch bei Einsatz gleicher Software sehr unterschiedliche Auswirkungen haben. Es ist also notwendig bei der Risikobewertung die Risiken, die sich aus der Tätigkeit des Unternehmens ergeben im Blick zu haben und diese auch wirklich umfassen zu verstehen.<br><br />
Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen um das allgemeine Verständnis zu erhöhen und möglichst wenig zu verwirren. Siehe auch: <u>[https://cwe.mitre.org/data/index.html Common Weakness Enumeration]</u> (CWE).<br />
<br />
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=freetext|position=right|title=References|year=2017|language=de}}<br />
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}<br />
* <u>[[OWASP_Risk_Rating_Methodology|OWASP Risk Rating Methodology]]</u><br />
* <u>[[Threat_Risk_Modeling|Article on Threat/Risk Modeling]]</u><br />
<br />
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}<br />
* <u>[https://www.iso.org/iso-31000-risk-management.html ISO 31000: Risk Management Std]</u><br />
* <u>[https://www.iso.org/isoiec-27001-information-security.html ISO 27001: ISMS]</u><br />
* <u>[https://www.nist.gov/cyberframework NIST Cyber Framework (US)]</u><br />
* <u>[https://www.asd.gov.au/infosec/mitigationstrategies.htm ASD Strategic Mitigations (AU)]</u><br />
* <u>[https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator NIST CVSS 3.0]</u><br />
* <u>[https://www.microsoft.com/en-us/download/details.aspx?id=49168 Microsoft Threat Modelling Tool]</u><br />
<br />
{{Top_10_2013:BottomAdvancedTemplate<br />
|type=box<br />
|useprev=2017PrevLink<br />
|prev={{Top_10:LanguageFile|text=releaseNotes|year=2017|language=de}}<br />
|usenext=2017NextLink<br />
|next={{Top_10:LanguageFile|text=top10|year=2017|language=de}}<br />
|year=2017<br />
|language=de<br />
}}<br />
<br />
<!-- [[Category:OWASP Top Ten Project]] --></div>T.Gigler