Germany/Projekte/Top 10 fuer Entwickler-2013/Risiko

Angreifer können potentiell viele verschiedene Angriffswege innerhalb der Applikation verwenden, um einen wirtschaftlichen oder sonstigen Schaden zu verursachen. Jeder dieser Wege stellt ein Risiko dar, das unter Umständen besondere Aufmerksamkeit rechtfertigt. center Manche dieser Wege sind einfach zu finden und auszunutzen, andere sehr schwierig. Dabei variiert der mögliche Schaden von nicht nennenswerten Auswirkungen bis hin zum vollständigen Untergang des Unternehmens. Das individuelle Gesamtrisiko kann nur durch die Betrachtung aller relevanten Faktoren abgeschätzt werden. Dabei handelt es sich um die jeweiligen Wahrscheinlichkeiten die mit den Bedrohungsquellen, Angriffsvektoren und Sicherheitsschwachstellen verbunden sind. Diese werden mit den erwarteten technischen Auswirkungen und den Auswirkungen auf den Geschäftsbetrieb kombiniert und bestimmen so das Gesamtrisiko.

Die OWASP Top 10 konzentrieren sich auf die Identifikation der größten Risiken für ein breites Spektrum an Organisationen. Für jedes dieser Risiken stellen wir Informationen zu den beeinflussenden Faktoren und den technischen Auswirkungen zur Verfügung. Dazu verwenden wir das folgende Bewertungsschema, auf Basis der OWASP Risk-Rating-Methodik :



      

 

Nur Sie kennen Ihr Unternehmen, Ihre Geschäftsprozesse und Ihre technische Infrastruktur genau. Es gibt sicherlich Anwendungen, auf die niemand einen Angriff durchführen kann, oder bei denen die technische Auswirkung für Sie irrelevant ist. Daher sollten Sie die Risikobewertung individuell vornehmen, fokussiert auf Ihren Schutzbedarf, die konkreten Bedrohungsquellen und Sicherheitsmaßnahmen, sowie die Auswirkungen auf die Anwendung und auf Ihr Unternehmen.

Wir bezeichnen die Bedrohungsquellen als “anwendungsspezifisch”, sowie die Auswirkungen auf das Unternehmen als “anwendungs-/geschäftsspezifisch”, um auf die genannten Abhängigkeiten für Ihre Anwendung in Ihrem Unternehmen hinzuweisen.

Die Namen der Risiken tragen – soweit möglich – die allgemein üblichen Bezeichnungen, um die Sensibilisierung (Awareness) zu erhöhen.


 * Risk-Rating-Methodik
 * Artikel über Threat/Risk Modeling


 * FAIR Information Risk Framework
 * Microsoft Threat Modeling (STRIDE and DREAD)