Prüfung und Zertifizierung von Web-Applikationen Christian Book Informationssicherheit BTC Business Technology Consulting AG

Transkript

1 Prüfung und Zertifizierung von Web-Applikationen Christian Book Informationssicherheit BTC Business Technology Consulting AG öffentlich

2 2011 Das Jahr der Hacker Quelle: Google News 2

3 Agenda Web-Applikationen ein Risiko? TÜV-Zertifizierung ein Mehrwert! Prüfung & Zertifizierung so geht s! 3

4 Web-Applikationen ein Risiko? 4

5 Web-Applikationen ein Risiko? Daten und Fakten. über 90 % aller Seiten sind verwundbar durch Applikationsattacken Watchfire 78% der einfach anwendbaren Attacken betreffen Webanwendungen Symantec 64 % aller Entwickler sind nicht sicher, ob sie die Fähigkeit haben, sichere Anwendungen zu schreiben. Microsoft Developer Research 5

6 Web-Applikationen ein Risiko? Ziele von Angriffen auf Web-Anwendungen 6

7 TÜV-Zertifizierung ein Mehrwert! 7

8 TÜV-Zertifizierung ein Mehrwert! Prüfung und Zertifizierung hilft bei der Minimierung von Schwachstellen: bekannte Schwachstellen und Angriffspunkte wurden nachweisbar geschlossen zeigt die Wahrnehmung des Themas IT-Sicherheit bestätigt ein definiertes Sicherheitsniveau der Applikation liefert eine unabhängige Prüfung anstelle von Marketing-Aussagen schafft Vertrauen und hilft bei der Kunden-Akquise (Wettbewerbsvorteil) Zertifizierung TÜV geprüfte Web-Applikation ist eine Kooperation zwischen TÜV Hessen und BTC AG 8

9 Prüfung & Zertifizierung 9

10 Prüfung & Zertifizierung Prüfung der Web-Applikation Automatisierte und manuelle Schwachstellenanalyse für höchste Sicherheit Identifikation der Systemumgebung und Analyse der Strukturen Prüfung auf Schwachstellen in der Infrastruktur und der Applikation sicherheitsrelevante Fehler innerhalb der Applikation Möglichkeiten zum Datei-Upload (Schadsoftware etc.) Informationsabfluss Bewertung der Ergebnisse durch Auditoren Ergebnis objektive und nachvollziehbare Bewertung des Sicherheitsniveaus 10

11 Prüfung & Zertifizierung Zertifizierung TÜV geprüfte Web-Applikation Zertifikat und Prüfzeichen Bericht zum Sicherheitsniveau automatisierte & manuelle Prüfung Dokumentenprüfung 11

12 Prüfung & Zertifizierung Zertifizierung TÜV geprüfte Web-Applikation Nach der Prüfung der Web-Applikation stellt der TÜV Hessen das Zertifikat und das Prüfzeichen aus unabhängige Prüfung durch den TÜV Hessen Anforderungen an TÜV geprüfte Web- Applikation sind in einem einheitlichen Anforderungskatalog zusammengestellt 12

13 Ausblick Quelle: ZDNet 13

14 Vielen Dank für Ihre Aufmerksamkeit. BTC Business Technology Consulting Escherweg Oldenburg Tel /

15 Die Standorte der BTC AG Hauptsitz: Escherweg Oldenburg Fon: + 49 (0) 441/ Fax: + 49 (0) 441/ office-ol@btc-ag.com Luisenstraße Bad Homburg Fon: +49 (0) Fax: +49 (0) office-ol@btc-ag.com Kurfürstendamm Berlin Fon: + 49 (0) Fax: + 49 (0) office-b@btc-ag.com Mary-Somerville-Straße Bremen Fon: +49 (0) Fax: +49 (0) office-hb@btc-ag.com Wittekindstraße Dortmund Fon: +49 (0) Fax: +49 (0) office-do@btc-ag.com Bartholomäusweg Gütersloh Fon: +49 (0) Fax: +49 (0) office-gt@btc-ag.com Klostergasse Leipzig Fon: +49 (0) Fax: +49 (0) office-l@btc-ag.com Wilh.-Th.-Römheld-Str Mainz Fon: + 49 (0) Fax: + 49 (0) office-mz@btc-ag.com Türkenstraße München Fon: +49 (0) Fax: +49 (0) office-m@btc-ag.com An der Alten Ziegelei Münster Fon: +49 (0) Fax: +49 (0) office-ms@btc-ag.com Konrad-Zuse-Straße Neckarsulm Fon: +49 (0) Fax: +49 (0) office-nsu@btc-ag.com Çayiryolu 1, Partaş Center Kat: Içerenköy, Istanbul Türkei Fon: +90 (216) Fax: +90 (216) office-ist@btc-ag.com ul. Małe Garbary Poznań Polen Fon: +48 (0) Fax: +48 (0) biuro-poz@btc-ag.com Hasebe Build.11F, Sendagi, Bunkyo-Ku, Tokyo Japan Fon: +81 (3) Fax: +81 (3) Info.OSCJapan@btc-es.de Bäulerstraße 20 CH-8152 Glattbrugg Schweiz Fon: +41 (0) Fax: +41 (0) office-zh@btc-ag.com Kehrwieder Hamburg Fon: +49 (0) Fax: +49 (0) office-hh@btc-ag.com 15

16 Web-Applikationen ein Risiko? Ziele von Angriffen auf Web-Anwendungen Web Applikationen sind für Hacker höchst interessant Zugriff auf persönliche Daten, bspw. Kunden- und Kreditkarteninformationen Zugriff auf vertrauliche Informationen (z.b. in geschützten Kundenportalen) Manipulation von Inhalten zum persönlichen Vorteil Verunstaltung von Inhalten (engl. defacement ) Verteilen von Schadsoftware Ablage & Austausch von illegalen Inhalten Erpressung mittels Denial of Service Attacken 16

17 Prüfung & Zertifizierung Zertifizierung TÜV geprüfte Web-Applikation Die Prüfung der Web-Applikation umfasst Dokumentenprüfung Prüfung der Web-Applikation vollautomatisierte Prüfung der Web-Applikation manuelle Prüfung der Web-Applikation & Verifikation der gefundenen Schwachstellen Erstellung eines Berichtes zum Sicherheitsniveau der Applikation Ausstellung des Zertifikates und Ausgabe des Prüfzeichens durch den TÜV Hessen 17