Manche Normen können überraschen, sogar positiv. Die österreichische ÖNORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik Österreich zu werfen.
Die Vorversion der ÖNORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als ÖNORM der definierte Stand der Technik für die Beschaffung und Entwicklung von sicheren Webapplikationen in Österreich. In 2019 wurde die Norm grundlegend überarbeitet und liegt unterteilt in 4 Teilen vor:
- ÖNORM A 7700-1: Webapplikationen – Begriffe
- ÖNORM A 7700-2: Webapplikationen – Anforderungen durch Datenschutz
- ÖNORM A 7700-3: Webapplikationen – Sicherheitstechnische Anforderungen
- ÖNORM A 7700-4: Webapplikationen – Anforderungen an den sicheren Betrieb
Den ersten Teil mit Begriffsdefinitionen kann sich der geneigte Leser direkt ersparen und der zweite Teil ist eher den typischen Datenschutzthemen zuzuordnen. Teil 3 und Teil 4 sind spannender.
ÖNORM A 7700-3: Webapplikationen Sicherheitstechnische Anforderungen
Die A 7700-3 ist erfrischend technisch konkret, soweit eine Norm das sein kann:
Die Sicherheitsanforderungen an Webapplikationen werden in der Regel aus einer generischen und aus einer technologieunabhängigen Sicht behandelt. Die einzelnen Anforderungen werden daher in dieser ÖNORM nicht auf spezifische technologische Lösungen abgebildet, wodurch ein entsprechend hoher Wissensstand beim Benutzer dieser ÖNORM vorausgesetzt wird. Ergänzende Informationen können aus der einschlägigen Fachliteratur bezogen werden. Als einschlägige Fachliteratur kann z. B. der OWASP Testing Guide in der jeweils aktuellen
ÖNORM A 7700-3:2019-10, Seite 5
Dabei werden in der A7700-3 folgende Themen behandelt:
- Architektur der Webapplikation
- Datenspeicherung und Datentransport
- Konfigurationsdaten
- Authentifizierung, Autorisierung und Sitzungen
- Session-Riding
- Click-Jacking
- Behandlung von Eingaben
- Datenverarbeitung (u.a. Injections)
- Behandlung von Datenausgaben
- Behandlung von Dateien
- System- und Fehlermeldungen
- Kryptographie
- Protokollierung
- Replay-Angriffe
- Dokumentation
ÖNORM A 7700-4: Webapplikationen Anforderungen an den sicheren Betrieb
Die A7700-4 stellt Anforderungen an den Betrieb einer sicheren Webapplikation, wobei direkt am Anfang der Norm ein ISMS gefordert wird. Das ist relativ generisch und zwar auch wahr, wenn auch weniger hilfreich. Die nachfolgenden Punkte können eher als eine grundlegende Checkliste dienen:
- Informationssicherheitsmanagementsystem
- Einhaltung des Minimalprinzips
- Verwendete Softwarekomponenten
- Konfiguration der Komponenten
- Behandlung von Daten (u.a. Verschlüsselung)
- Konfiguration von HTTP-Header
- Protokollierung