Auf dem Novem­ber-Tref­fen von OWASP Frank­furt hat Jim Mani­co einen inter­es­san­ten Vor­trag über das OWASP Appli­ca­ti­on Secu­ri­ty Veri­fi­ca­ti­on Stan­dard Pro­ject gehal­ten. Dies ist ein Refe­renz­mo­dell (wie z.B. CMMI) über die Ent­wick­lung und das Tes­ten siche­rer Soft­ware. Ich emp­feh­le jedem, der mit Soft­ware-Ent­wick­lung zu tun hat, dort öfter man (am Anfang von Pro­jek­ten) reinzuschauen.

Ich habe bei ver­schie­de­nen Pro­jek­ten das Jahr über immer wie­der mit den OWASP Top Ten zu tun gehabt, einer alle paar Jah­re aktua­li­sier­ten Lis­te der zehn kri­tisch­ten Sicher­heits­pro­ble­me. Die­se Lis­te ist gut geeig­net um zu wis­sen, auf wel­che IT-Sicher­heits­aspek­te man im All­ge­mei­nen auf­grund ihrer Ver­brei­tung beson­ders ach­ten sollte.

Natür­lich hat jede Anwen­dung in ihrer eige­nen Umge­bung mit eige­nen Pro­ble­mem zu kämp­fen; und nur, weil ein Sicher­heits­pro­blem nicht in der Top Ten-Lis­te erscheint heißt natür­lich nicht, dass es in einem kon­kre­ten Fall kei­ne Rol­le spielt. Jedoch fand ich es inter­es­sant von Mani­co zu hören dass es mitt­ler­wei­le in der Rea­li­tät oft der Fall wäre, dass Fir­men sagen, ihre Soft­ware sei sicher, weil sie „gemäß der OWASP Top Ten-Lis­te” ent­wi­ckelt wurde.

Das ist natür­lich Blöd­sinn. Aber mal wie­der ein inter­es­san­tes Bei­spiel, wie gute Inten­tio­nen und Pro­jek­te miss­ver­stan­den wer­den kön­nen, weil sie Leu­te zu Gesicht bekom­men, die sich nur ober­fläch­lich mit IT-Sicher­heit beschäftigen.