Manche Normen k\u00f6nnen \u00fcberraschen, sogar positiv. Die \u00f6sterreichische \u00d6NORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik \u00d6sterreich zu werfen.<\/p>\n\n\n\n
Die Vorversion der \u00d6NORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als \u00d6NORM der definierte Stand der Technik f\u00fcr die Beschaffung und Entwicklung von sicheren Webapplikationen in \u00d6sterreich. In 2019 wurde die Norm grundlegend \u00fcberarbeitet und liegt unterteilt in 4 Teilen vor:<\/p>\n\n\n\n
Den ersten Teil mit Begriffsdefinitionen kann sich der geneigte Leser direkt ersparen und der zweite Teil ist eher den typischen Datenschutzthemen zuzuordnen. Teil 3 und Teil 4 sind spannender. <\/p>\n\n\n\n
Die A 7700-3 ist erfrischend technisch konkret, soweit eine Norm das sein kann:<\/p>\n\n\n\n
Die Sicherheitsanforderungen an Webapplikationen werden in der Regel aus einer generischen und aus einer technologieunabh\u00e4ngigen Sicht behandelt. Die einzelnen Anforderungen werden daher in dieser \u00d6NORM nicht auf spezifische technologische L\u00f6sungen abgebildet, wodurch ein entsprechend hoher Wissensstand beim Benutzer dieser \u00d6NORM vorausgesetzt wird. Erg\u00e4nzende Informationen k\u00f6nnen aus der einschl\u00e4gigen Fachliteratur bezogen werden. Als einschl\u00e4gige Fachliteratur kann z. B. der OWASP Testing Guide in der jeweils aktuellen<\/p>\u00d6NORM A 7700-3:2019-10, Seite 5<\/cite><\/blockquote>\n\n\n\n
Dabei werden in der A7700-3 folgende Themen behandelt:<\/p>\n\n\n\n
- Architektur der Webapplikation<\/li>
- Datenspeicherung und Datentransport<\/li>
- Konfigurationsdaten<\/li>
- Authentifizierung, Autorisierung und Sitzungen<\/li>
- Session-Riding<\/li>
- Click-Jacking<\/li>
- Behandlung von Eingaben<\/li>
- Datenverarbeitung (u.a. Injections)<\/li>
- Behandlung von Datenausgaben<\/li>
- Behandlung von Dateien<\/li>
- System- und Fehlermeldungen<\/li>
- Kryptographie<\/li>
- Protokollierung<\/li>
- Replay-Angriffe<\/li>
- Dokumentation<\/li><\/ul>\n\n\n\n
\u00d6NORM A 7700-4: Webapplikationen Anforderungen an den sicheren Betrieb<\/h2>\n\n\n\n
Die A7700-4 stellt Anforderungen an den Betrieb einer sicheren Webapplikation, wobei direkt am Anfang der Norm ein ISMS gefordert wird. Das ist relativ generisch und zwar auch wahr, wenn auch weniger hilfreich. Die nachfolgenden Punkte k\u00f6nnen eher als eine grundlegende Checkliste dienen:<\/p>\n\n\n\n
- Informationssicherheitsmanagementsystem<\/li>
- Einhaltung des Minimalprinzips<\/li>
- Verwendete Softwarekomponenten<\/li>
- Konfiguration der Komponenten<\/li>
- Behandlung von Daten (u.a. Verschl\u00fcsselung)<\/li>
- Konfiguration von HTTP-Header<\/li>
- Protokollierung<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"
Manche Normen k\u00f6nnen \u00fcberraschen, sogar positiv. Die \u00f6sterreichische \u00d6NORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik \u00d6sterreich zu werfen. Die Vorversion der \u00d6NORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als \u00d6NORM der definierte … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3477","6":"format-standard","7":"category-pentest"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3477"}],"version-history":[{"count":7,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3477\/revisions"}],"predecessor-version":[{"id":3484,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3477\/revisions\/3484"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}