Motivation

Warum über Sicherheit reden?

Playstation-Network Hack
Playstation-Network Hack
Spiegel zu I love you Virus
Spiegel zu I love you Virus

Definition: IT-Sicherheit

IT-Sicherheit – Strategien und Maßnahmen, um die Verfügbarkeit von IT-Systemen zu gewährleisten und den unerlaubten Zugriff sowie die unberechtigte Veränderung von Informationen zu vermeiden.

Quelle: Laudon, Kenneth C. ; Laudin, Jane P. ; Schoder, Detlef: Wirtschaftsinformatik: Eine Einführung. 2. Auflage

Grundlegende Prinzipien für Sicherheit

  • Es geht im allgemeinen um den Schutz von Daten
  • CIA-Prinzip
    • Confidentiality (Vertraulichkeit) – Daten können nur von demjenigen gelesen werden, der dazu berechtigt ist
    • Integrity (Integrität) – Daten sind vollständig und unverändert
    • Availability (Verfügbarkeit) – Daten sind jederzeit verfügbar
  • Erweiterbar um
    • Authenticity (Authentizität, Glaubwürdigkeit) – Herkunft der Daten kann nachgeprüft und bewiesen werden
    • Non-Repudiation (Nichtabstreitbarkeit, Verbindlichkeit) – Person, die eine Aussage macht oder Aktion durchführt, kann später nicht die Urheberschaft abstreiten

Der ökonomische Faktor

XKCD zum ökonomischen Prinzip
XKCD zum ökonomischen Prinzip

Das Problem mit Security

Umgehung einer physischen Sperre
Umgehung einer physischen Sperre

Funktionale Fehler

  • Werden vom Kunden entdeckt
  • Betreffen ein bestimmtes Feature der Software
  • Treten unter bestimmten Bedingungen auf
  • Betreffen den Kunden, der das Problem meldet
  • Kunden können aktiv nach einer Lösung suchen

Sicherheitsprobleme

  • Sind Kunden nicht bekannt
  • Die Funktionalität der Software ist nicht gestört
  • Ein Sicherheitsproblem kann ein ganzes System kompromittieren
  • Viele Kunden sind gefährdet
  • Angreifer muss nur einen Fehler kennen, Hersteller muss alle Fehler beseitigen
  • Kunden können nicht nach Hilfe zu Sicherheitsproblemen suchen

OWASP Top 10 (2013)

  1. Injection
  2. Broken Authentication and Session Management
  3. Cross Site Scripting (XSS)
  4. Insecure Direct Object References
  5. Security Misconfiguration
  6. Sensitive Data Exposure
  7. Missing Function Level Acces Control
  8. Cross Site Request Forgery (CSRF)
  9. Using Components with Known Vulnerabilities
  10. Unvalidated Redirects and Forwards

OWASP Top 10 (2022)

  1. Broken Access Control
  2. Cryptographic Failures
  3. Injection
  4. Insecure Design
  5. Security Misconfiguration
  6. Vulnerable and Outdated Components
  7. Identification and Authentication Failures
  8. Software and Data Integrity Failures
  9. Security Logging and Monitoring Failures
  10. Server-Side Request Forgery

CWE Top 25

  1. Out-of-bounds Write
  2. Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  3. Out-of-bounds Read
  4. Improper Input Validation
  5. Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
  6. Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
  7. Use After Free
  1. Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
  2. Cross-Site Request Forgery (CSRF)
  3. Unrestricted Upload of File with Dangerous Type
  4. Missing Authentication for Critical Function
  5. Integer Overflow or Wraparound
  6. Deserialization of Untrusted Data
  7. Improper Authentication
  8. NULL Pointer Dereference
  9. Use of Hard-coded Credentials
  1. Improper Restriction of Operations within the Bounds of a Memory Buffer
  2. Missing Authorization
  3. Incorrect Default Permissions
  4. Exposure of Sensitive Information to an Unauthorized Actor
  5. Insufficiently Protected Credentials
  6. Incorrect Permission Assignment for Critical Resource
  7. Improper Restriction of XML External Entity Reference
  8. Server-Side Request Forgery (SSRF)
  9. Improper Neutralization of Special Elements used in a Command ('Command Injection')


http://cwe.mitre.org/top25/

Copyright © 2025 Thomas Smits