OWASP Review BSI IT-Grundschutz Baustein Webanwendungen

Mailing-List, Coordination and Contact
The project ended sucessfully in 2012, so the mailing list is closed now. Thus, you can still contact the project leader [mailto:ralf.reinhardt@owasp.org Ralf] Reinhardt.

This is a project of the OWASP German Chapter.

Abstract
Technical review of the module web application ("Baustein Webanwendungen") of the IT-baseline protection catalog ("IT Grundschutz Katalog") of the German Federal Office for Information Security ("BSI") from the OWASP's point of view.

Introduction
The German "Federal Office for Information Security" (BSI), which is comparable to departments focused on security in organizations like NIST or CCTA, offers the IT Baseline Protection ("IT-Grundschutz") for public usage, which is based on ISO/IEC 27001. The IT Baseline Protection include a catalog of approx. 80 "Bausteine" (building blocks). Those blocks are dealing with one particular subject of IT security. They are usually written in the German language and later translated to English. They become the de facto standard for IT security and related certifications in Germany after they are finally released.

In January 2012 the draft of the block "Webanwendungen" (web applications) was released with a request for comments. Since this is the core expertise of OWASP we invited a delegate of the BSI to attend the last chapter meeting of the German Chapter which took place in Frankfurt / Main on the 3rd of February. The meeting's outcome was the strong wish to perform a review of that very web application block as an OWASP project. This project will help to expand the visibility of OWASP in the German IT security landscape broadly.

Roadmap

 * Time is running out, so it's just: Review!
 * Details  see "Discussion"

Deadline
06/01/2012, in German: 01.06.2012

Document download
"Entwurf Baustein Webanwendungen" of the BSI (in German language) directly: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Vorabversionen/Baustein_Webanwendungen_Entwurf.zip

General download section of the BSI: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/download/download.html

Some further information about "BSI" and "Grundschutz"
The BSI about itself: https://www.bsi.bund.de/EN/Home/home_node.html

Wikipedia about BSI: http://en.wikipedia.org/wiki/Bundesamt_f%C3%BCr_Sicherheit_in_der_Informationstechnik

Wikipedia about "IT-Grundschutz Katalog": http://en.wikipedia.org/wiki/IT_Baseline_Protection_Catalogs

Allgemeine Punkte
Allgemeine Punkte.

Kapitel-Review
Hier eine Auflistung der einzelnen Kapitel / Teile / Review-TODOs - wer einen Teil übernehmen möchte schreibt sich bitte einfach ein (im Feld Person ).

Im Kommentarfeld bitte angeben, bis wann ihr plant, den Punkt fertig bearbeitet zu haben (und natürlich sonstige notwendigen Kommentare). Das Kommentarfeld eignet sich auch, um anzugeben, wer den peer review für diesen Teil macht (vgl. Status "in Diskussion").

Unter Status könnt Ihr das folgende angeben:
 * offen (dieser Teil ist noch unbearbeitet)
 * in Arbeit (dieser Teil wird aktuell bearbeitet)
 * in Diskussion (Arbeit des initialen Reviewers abgeschlossen; Kommentierung / peer review durch andere wird durchgeführt)
 * geschlossen (die Kommentierung dieses Teils ist abgeschlossen)
 * übernommen (dieser Teil wurde in das finale Word-Dokument übernommen)

Weitere Informationen und die aktuellen Arbeitsstände gibt es unter "Discussion".

Project Contributors

 * Dr. Markus Miedaner
 * Matthias Rohr
 * Ralf Reinhardt
 * Kai Jendrian
 * Dennis Moers
 * Tobias Glemser
 * Dr. Dirk Wetter

Project Licence
Creative Commons Attribution ShareAlike 3.0