News

Archiv

Warum die OWASP TOP 10 für ein BayLDA Audit wichtig sind

Hat das Bayerische Landesamt für Datenschutzaufsicht mögliche Bedenken über die Sicherheitsvorkehrungen in Online-Shops, so werden dort die Schutzmechanismen gegen die OWASP Top 10, also die 10 häufigsten Sicherheitsrisiken für Webanwendungen laut dem Open Web Application Security Project (OWASP), abgefragt.

VIER FRAGEN

Im konkreten Fall hatte ein Kunde eine spezielle E-Mail eingerichtet um in einem Webshop zu bestellen. Die E-Mail wurde abgesehen davon, für keinen anderen Zweck verwendet. Dennoch bekam der Kunde kurz darauf Spam-Mails an diese Adresse. Um den Beschwerdefall zu untersuchen bat das BayLDA um folgende vier Informationen:

    1. Verfügen Sie über einen Datenschutzbeauftragten?
    2. Als Online-Shop sind Sie täglich vielen IT-Gefahren ausgesetzt. Bitte erläutern Sie uns, welche Schutzmaßnahmen Sie ergreifen, um personenbezogene Daten von den häufigsten bekannten Internet-Angriffen, die als OWASP Top 10 veröffentlicht sind, zu schützen.
    3. Haben Sie in den letzten 12 Monaten (Hacking-)Angriffe auf Ihren Webshop festgestellt? Erklären Sie uns dabei auch, durch welche Vorkehrungen und Maßnahmen Sie in der Lage sind, solche Angriffe überhaupt zu erkennen.
    4. Zum konkreten Umgang mit E-Mail Adressen: Welche Schutzmaßnahmen ergreifen Sie, um die E-Mail-Adressen von Kunden vor unbefugten Zugriffen zu schützen?

DIE OWASP TOP 10

Die OWASP veröffentlichte zuletzt 2013 eine TOP 10 Liste der größten und häufigsten Risiken für Webanwendungen. Diese sind:

    A1 – Injection
    A2 – Fehler in Authentifizierung und Session Management
    A3 – Cross-Site Scripting (XSS)
    A4 – Unsichere direkte Objektreferenzen
    A5 – Sicherheitsrelevante Fehlkonfiguration
    A6 – Verlust der Vertraulichkeit sensibler Daten
    A7 – Fehlerhafte Autorisierung auf Anwendungsebene
    A8 – Cross-Site Request Forgery (CSRF)
    A9 – Verwendung von Komponenten mit bekannten Schwachstellen
    A10 – Ungeprüfte Um- und Weiterleitungen

OWASP HILFT

OWASP zählt glücklicherweise aber nicht nur die Risiken auf, sondern liefert auch eine genaue Beschreibung der einzelnen Punkte. Darüber hinaus finden sich auch eine Analysehilfe zur Verwundbarkeit und Vorschläge zur Vorbeugung in der ausführlichen PDF, die auf owasp.org auch auf Deutsch veröffentlicht wird und die Sie HIER gratis herunterladen können.

Vorheriger Beitrag
Trendvirus Ransomware – So schützen Sie sich!
Nächster Beitrag
Düsseldorfer Kreis liefert Mustererklärung für Versicherungswirtschaft