This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10-2017 Sicherheitsrisiken für Anwendungen"

From OWASP
Jump to: navigation, search
(Created Page)
 
m (Internen Link zu 'noteAboutRisks' ergänzt)
 
Line 45: Line 45:
 
| spezifisch | Difficult 1 | Uncommon 1 | Difficult 1 | Minor 1 | spezifisch  |
 
| spezifisch | Difficult 1 | Uncommon 1 | Difficult 1 | Minor 1 | spezifisch  |
 
---->
 
---->
Mit dem diesjährigen Dokument haben wir die Tabellen der Risikobewertung überarbeitet, um die Berechnung des Risiko nachvollziehbarer zu machen.<br>Für die Details der Verbesserungen sei hier auf den Abschnitt "<u>[+RISK.md Anmerkungen zum Risikobegriff]</u>" verwiesen.<br>
+
Mit dem diesjährigen Dokument haben wir die Tabellen der Risikobewertung überarbeitet, um die Berechnung des Risiko nachvollziehbarer zu machen.<br>Für die Details der Verbesserungen sei hier auf den Abschnitt "<u><b>[[{{Top_10:LanguageFile|text=documentRootTop10New|language=de|year=2017 }}_{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}|{{Top_10:LanguageFile|text=noteAboutRisks|language=de}}]]</b></u>" verwiesen.<br>
 
Jedes Unternehmen und jede Organisation unterscheidet sich von allen anderen. Ebenso die Angreifer, deren Ziele und die Auswirkungen eines Sicherheitsvorfalles. Wenn beispielsweise eine Organisation ein Content-Management-System (CMS) für eine öffentliche Webseite nutzt, eine andere Firma das gleiche CMS nutzt, um darin (datenschutzrelevante) Patientendaten zu speichern, so können Sicherheitsvorfälle auch bei Einsatz gleicher Software sehr unterschiedliche Auswirkungen haben. Es ist also notwendig bei der Risikobewertung die Risiken, die sich aus der Tätigkeit des Unternehmens ergeben im Blick zu haben und diese auch wirklich umfassen zu verstehen.<br>
 
Jedes Unternehmen und jede Organisation unterscheidet sich von allen anderen. Ebenso die Angreifer, deren Ziele und die Auswirkungen eines Sicherheitsvorfalles. Wenn beispielsweise eine Organisation ein Content-Management-System (CMS) für eine öffentliche Webseite nutzt, eine andere Firma das gleiche CMS nutzt, um darin (datenschutzrelevante) Patientendaten zu speichern, so können Sicherheitsvorfälle auch bei Einsatz gleicher Software sehr unterschiedliche Auswirkungen haben. Es ist also notwendig bei der Risikobewertung die Risiken, die sich aus der Tätigkeit des Unternehmens ergeben im Blick zu haben und diese auch wirklich umfassen zu verstehen.<br>
 
Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen um das allgemeine Verständnis zu erhöhen und möglichst wenig zu verwirren. Siehe auch: <u>[https://cwe.mitre.org/data/index.html Common Weakness Enumeration]</u> (CWE).
 
Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen um das allgemeine Verständnis zu erhöhen und möglichst wenig zu verwirren. Siehe auch: <u>[https://cwe.mitre.org/data/index.html Common Weakness Enumeration]</u> (CWE).

Latest revision as of 23:40, 9 December 2018

==BAUSTELLE! Hier entsteht das deutsche Wiki der OWASP Top 10-2017==

==Bitte benutzen Sie die PDF Version.==

← Neuerungen
2017 Inhaltsverzeichnis

PDF version

Top 10 →
Was sind Sicherheitsrisiken für Anwendungen?

Angreifer können im Fall der Fälle viele unterschiedliche Angriffswege in einer Applikation ausnutzen, um Schaden für das Unternehmen oder die Organisation zu verursachen. Jeder einzelne dieser Wege stellt ein Risiko dar, das unter Umständen besondere Aufmerksamkeit bedarf.

Manche dieser Angriffswege sind sehr leicht zu finden und auszunutzen, bei anderen kann es bedeutend schwer werden.
So unterschiedlich die Wege, so unterschiedliche sind auch die Auswirkungen: Einige sind kaum erwähnenswert, andere könnten letztlich zum Untergang des Unternehmens führen. Das individuelle Risiko kann stets nur unter Beachtung aller relevanter Faktoren abgeschätzt werden: Dabei handelt es sich um die jeweiligen Wahrscheinlichkeiten, die mit Bedrohungs-quellen, Angriffsvektoren und Schwachstellen verbunden sind. Diese werden mit den zu erwartenden technischen Auswirkungen sowie den Auswirkungen auf das Unternehmen kombiniert und bestimmen damit das individuelle Gesamtrisiko.

Was sind meine Risiken?

Die OWASP Top 10 beschreibt die schwerwiegendsten Risiken von Webanwendungen, die für ein breites Spektrum an Organisationen relevant sind. Für jedes dieser zehn Risiken stellen wir Informationen zu den beeinflussen-den Faktoren und den technischen Auswirkungen zur Verfügung. Zur Einschätzung verwenden wir folgendes Bewertungsschema auf Basis der OWASP-Risk-Rating-Methode

Bedrohungsquellen Ausnutzbarkeit Verbreitung Auffindbarkeit Technische Auswirkung Auswirkung auf das Unternehmen
Anw.-
spezifisch
EINFACH: 3 SEHR HÄUFIG: 3 EINFACH: 3 SCHWERWIEGEND: 3 Anw.-/
Geschäftsspez.
DURCHSCHNITTLICH: 2 HÄUFIG: 2 DURCHSCHNITTLICH: 2 MITTEL: 2
SCHWIERIG: 1 SELTEN: 1 SCHWIERIG: 1 GERING: 1

Mit dem diesjährigen Dokument haben wir die Tabellen der Risikobewertung überarbeitet, um die Berechnung des Risiko nachvollziehbarer zu machen.
Für die Details der Verbesserungen sei hier auf den Abschnitt "Anmerkungen zum Risikobegriff" verwiesen.
Jedes Unternehmen und jede Organisation unterscheidet sich von allen anderen. Ebenso die Angreifer, deren Ziele und die Auswirkungen eines Sicherheitsvorfalles. Wenn beispielsweise eine Organisation ein Content-Management-System (CMS) für eine öffentliche Webseite nutzt, eine andere Firma das gleiche CMS nutzt, um darin (datenschutzrelevante) Patientendaten zu speichern, so können Sicherheitsvorfälle auch bei Einsatz gleicher Software sehr unterschiedliche Auswirkungen haben. Es ist also notwendig bei der Risikobewertung die Risiken, die sich aus der Tätigkeit des Unternehmens ergeben im Blick zu haben und diese auch wirklich umfassen zu verstehen.
Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen um das allgemeine Verständnis zu erhöhen und möglichst wenig zu verwirren. Siehe auch: Common Weakness Enumeration (CWE).

References

OWASP

Andere

← Neuerungen
2017 Inhaltsverzeichnis

PDF version

Top 10 →

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png