APP.3.1: Webanwendungen - 1 Beschreibung - BSI

Die Seite wird erstellt Stephan Gerber
Computer und Technik
Deutsch
 
WEITER LESEN
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
APP.3.1: Webanwendungen - 1 Beschreibung - BSI
APP.3: Netzbasierte Dienste

APP.3.1:                        Webanwendungen
1 Beschreibung
1.1   Einleitung
Webanwendungen stellen Funktionen und dynamische Inhalte zur Verfügung. Sie nutzen dazu das
Internetprotokoll HTTP (Hypertext Transfer Protocol) bzw. HTTPS. Bei HTTPS wird die Verbindung
durch die Protokolle SSL (Secure Socket Layer) oder TLS (Transport Layer Security) verschlüsselt und
zusätzlich gesichert.
Webanwendungen erstellen auf einem Server Dokumente und Benutzeroberflächen, z. B.
Eingabemasken, und liefern diese an entsprechende Clientprogramme, wie etwa Webbrowser.
Webanwendungen werden gewöhnlich auf der Grundlage von Frameworks entwickelt. Diese stellen ein
Rahmenwerk für häufig wiederkehrende Aufgaben zur Verfügung, z. B. für Sicherheitskomponenten.
Um eine Webanwendung zu betreiben, sind in der Regel mehrere Komponenten notwendig. Hierzu
gehören üblicherweise ein Webserver, um Daten auszuliefern und ein Applikationsserver, um die
eigentliche Anwendung zu betreiben. Außerdem sind zusätzliche Hintergrundsysteme nötig, die oft als
Datenquellen über unterschiedliche Schnittstellen angebunden sind, z. B. Datenbanken oder
Verzeichnisdienste.
Webanwendungen werden sowohl in öffentlichen Datennetzen als auch in Institutionsnetzen
(Intranet) eingesetzt, um Daten und Anwendungen bereitzustellen. Je nach Zweck der
Webanwendungen werden diese in der Regel von Anwendern genutzt, die sich im Vorfeld
authentisieren müssen. Dabei müssen Webanwendungen Sicherheitsmechanismen umsetzen, die den
Schutz der Daten gewährleisten und deren Missbrauch verhindern. Typische Sicherheitskomponenten
bzw. -mechanismen sind: Authentisierung, Autorisierung, Eingabevalidierung, Ausgabekodierung,
Session-Management, Fehlerbehandlung und Protokollierung.

1.2   Zielsetzung
Ziel dieses Bausteins ist der sichere Betrieb von Webanwendungen sowie der Schutz von
Informationen, die durch eine Webanwendung verarbeitet werden:

1.3   Abgrenzung und Modellierung
Der Baustein ist auf alle Webanwendungen des Informationsverbunds anzuwenden.
In diesem Baustein werden die für Webanwendungen spezifischen Gefährdungen und Anforderungen
betrachtet. Webanwendungen stellen Funktionen zur Verfügung und bereiten dynamische Inhalte vor,
die durch den Webserver ausgeliefert werden (siehe auch APP.3.2 Webserver). Der Baustein APP.3.2
Webserver beinhaltet auch die redaktionelle Planung des Webauftritts. Diese Aspekte werden daher im

Stand Februar 2020                                                                   Seite 1 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

Baustein APP.3.1 Webanwendungen nicht nochmals behandelt.

2 Gefährdungslage
Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein APP.3.1
Webanwendungen von besonderer Bedeutung:

2.1   Mängel bei der Entwicklung und der Erweiterung von Webanwendungen
Wird eine Webanwendung mit fehlenden oder unzureichenden Vorgaben und Standards entwickelt
bzw. erweitert, so kann dies zu Fehlern, Qualitätseinbußen oder einer unvollständigen Funktionalität
führen. Fehler, die in frühen Entwicklungsphasen auftreten, werden häufig erst in einem
fortgeschrittenen Entwicklungsstadium entdeckt. Um diese Fehler nachträglich zu beheben, muss oft
der Quellcode der Webanwendung aufwendig geprüft und wieder korrigiert werden. Dadurch können
die Entwicklungskosten deutlich zunehmen. Im Fall von grundlegenden architektonischen Fehlern
muss die Webanwendung eventuell sogar komplett neu entwickelt werden. Gibt es darüber hinaus
keine Vorgaben, um Sicherheitsmechanismen umzusetzen, werden die zu verarbeitenden Daten
möglicherweise nicht ausreichend geschützt.

2.2   Umgehung der Autorisierung bei Webanwendungen
Angreifer versuchen häufig, auf Funktionen oder Daten von Webanwendungen zuzugreifen, die nur für
eine eingeschränkte Benutzergruppe verfügbar sind. Ist die Autorisierung fehlerhaft umgesetzt, kann
ein Angreifer unter Umständen die Berechtigungen eines anderen Benutzers mit umfangreicheren
Rechten erlangen und somit auf geschützte Bereiche und Daten zugreifen. Das geschieht üblicherweise,
indem ein Angreifer seine Eingaben gezielt manipuliert.

2.3   Unzureichende Eingabevalidierung und Ausgabekodierung
Verarbeitet eine Webanwendung ungeprüfte Eingangsdaten, die von einem Angreifer manipuliert
wurden, können möglicherweise Schutzmechanismen umgangen werden. Auch die Ausgabedaten der
Webanwendung werden entweder direkt an den Webbrowser des Benutzers, die aufrufende
Anwendung oder an nachgelagerte Systeme übermittelt. Werden diese Daten vor der Ausgabe nicht
ausreichend kodiert, könnten sie Schadcode enthalten, der auf den Zielsystemen interpretiert oder
ausgeführt wird.

2.4   Fehlende oder mangelhafte Fehlerbehandlung durch Webanwendungen
Treten Fehler während des Betriebs einer Webanwendung auf, kann das z. B. die Verfügbarkeit der
Webanwendung einschränken, bis sie etwa nicht mehr erreichbar ist. So werden eventuell Aktionen
unvollständig durchgeführt, zwischengespeicherte Aktionen und Daten gehen verloren oder
Sicherheitsmechanismen fallen aus. Werden Fehler nicht korrekt behandelt, kann sowohl der Betrieb
als auch der Schutz der Funktionen und Daten beeinträchtigt werden.

2.5   Unzureichende Protokollierung von sicherheitsrelevanten Ereignissen
Werden sicherheitsrelevante Ereignisse von der Webanwendung unzureichend protokolliert, können
diese unter Umständen zu einem späteren Zeitpunkt nicht nachvollzogen werden. Somit kann auch die
Ursache nicht mehr ermittelt werden. Kritische Fehler und Angriffe, wie beispielsweise unbefugte
Konfigurationsänderungen an der Webanwendung, bleiben dann möglicherweise unbemerkt. Eine
unzureichende Protokollierung erschwert es auch, Schwachstellen zu erkennen und zu beheben.

2.6   Offenlegung sicherheitsrelevanter Informationen bei Webanwendungen
Webseiten und Daten, die von einer Webanwendung generiert und ausgeliefert werden, können
Informationen zu den Hintergrundsystemen enthalten, z. B. Angaben zu Datenbanken oder
Versionsständen von Frameworks. Diese Informationen können es einem Angreifer erleichtern, gezielte

Stand Februar 2020                                                                  Seite 2 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

Angriffe auf die Webanwendung durchzuführen.

2.7   Missbrauch einer Webanwendung durch automatisierte Nutzung
Wenn ein Angreifer Funktionen einer Webanwendung automatisiert nutzt, kann er zahlreiche
Vorgänge in kurzer Zeit ausführen. Diese auf Wiederholung basierenden Angriffe gegen die
Webanwendung sind besonders effizient. Mithilfe eines wiederholt durchgeführten Login-Prozesses
kann der Angreifer z. B. versuchen, gültige Kombinationen aus Benutzernamen und Passwort zu
ermitteln (Brute-Force) oder Listen mit gültigen Benutzernamen zu erzeugen (Enumeration). Darüber
hinaus kann das wiederholte Aufrufen von ressourcenintensiven Funktionen, wie z. B. komplexe
Datenbankabfragen, für Denial-of-Service-Angriffe auf Anwendungsebene missbraucht werden.

2.8   Unzureichendes Session-Management von Webanwendungen
Wenn es einem Angreifer aufgrund eines unzureichenden Session-Managements gelingt, die Session-
ID eines berechtigten Benutzers zu ermitteln, kann er damit unter Umständen auf geschützte
Funktionen und Ressourcen der Webanwendung zugreifen. Ein Beispiel für eine solche Angriffsform ist
der Session-Fixation-Angriff. Dabei lässt sich ein Angreifer zunächst eine Session-ID von der
Webanwendung zuweisen und übermittelt diese ID an einen legitimen Benutzer, zum Beispiel über
einen Link in einer E-Mail. Wenn der Benutzer diesem Link folgt und sich danach gegenüber der
Webanwendung mit der vom Angreifer übermittelten Session-ID authentisiert, kann der Angreifer die
Anwendung anschließend mit der ihm bekannten Session-ID verwenden. Auf diese Weise ist es ihm
möglich, im Sicherheitskontext des angegriffenen Benutzers auf die Webanwendung zuzugreifen und
so eventuell geschützte Funktionen zu nutzen.

3 Anforderungen
Im Folgenden sind spezifische Anforderungen für den Baustein APP.3.1 Webanwendungen aufgeführt.
Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig. Der
Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen.
Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten
Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die
weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit
in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.

Grundsätzlich zuständig                           IT-Betrieb

Weitere Zuständigkeiten                           Beschaffer, Entwickler

3.1   Basis-Anforderungen
Die folgenden Anforderungen MÜSSEN für den Baustein APP.3.1 Webanwendungen vorrangig
umgesetzt werden:
APP.3.1.A1           Authentisierung bei Webanwendungen [Entwickler] (B)
Der IT-Betrieb und die Entwickler von Webanwendungen MÜSSEN sicherstellen, dass sich Benutzer
gegenüber der Anwendung geeignet authentisieren, wenn diese auf geschützte Ressourcen zugreifen
wollen. Dafür MUSS eine geeignete Authentisierungsmethode ausgewählt und der Auswahlprozess
dokumentiert werden. Die Zugangsdaten MÜSSEN angemessen geschützt werden.
Es MUSS eine zentrale Authentisierungskomponente verwendet werden, die möglichst mit etablierten
Standardkomponenten umgesetzt wurde. Die Komponente MUSS die Benutzer dazu zwingen, sichere
Passwörter gemäß einer Passwort-Richtlinie zu benutzen. Speichert eine Webanwendung
Authentisierungsdaten auf einem Client, MUSS der Benutzer explizit zustimmen („Opt-In“) und auf die
Risiken der Funktion hingewiesen werden.

Stand Februar 2020                                                                Seite 3 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

In der Webanwendung MÜSSEN Grenzwerte für fehlgeschlagene Anmeldeversuche definiert sein. Alle
angebotenen Authentisierungsverfahren der Webanwendung MÜSSEN das gleiche Sicherheitsniveau
aufweisen. Zudem MÜSSEN Benutzer sofort informiert werden, wenn ihr Passwort zurückgesetzt
wurde.
APP.3.1.A2           Zugriffskontrolle bei Webanwendungen [Entwickler] (B)
Es MUSS durch die Entwickler einer Webanwendung mittels einer Autorisierungskomponente
sichergestellt werden, dass Benutzer nur Aktionen durchführen können, zu denen sie berechtigt sind.
Jeder Zugriff auf geschützte Inhalte und Funktionen MUSS kontrolliert werden, bevor er ausgeführt
wird. Sollte es nicht möglich sein, Zugriffsrechte zuzuweisen, MUSS dafür ein zusätzliches
Sicherheitsprodukt eingesetzt werden.
Es MÜSSEN alle von der Webanwendung verwalteten Ressourcen von der Autorisierungskomponente
berücksichtigt werden. Die Benutzer MÜSSEN serverseitig und zentral auf einem vertrauenswürdigen
IT-System autorisiert werden. Ist die Zugriffskontrolle fehlerhaft, MÜSSEN Zugriffe abgelehnt werden.
Auch MUSS es eine Zugriffskontrolle bei URL-Aufrufen und Objekt-Referenzen geben. Ebenso MUSS
der Zugriff auf Dateien durch die Benutzer mit restriktiven Dateisystemberechtigungen beschränkt
werden. Es MUSS zudem ein sicherer Umgang mit temporären Dateien vorgesehen werden.
APP.3.1.A3           Sicheres Session-Management [Entwickler] (B)
Entwickler einer Webanwendung MÜSSEN sicherstellen, dass Session-IDs geeignet geschützt werden.
Session-IDs MÜSSEN zufällig und mit ausreichender Entropie erzeugt werden. Falls das Framework der
Webanwendung Session-IDs generieren kann, MUSS diese Funktion des Frameworks von den
Entwicklern verwendet werden. Sicherheitsrelevante Konfigurationsmöglichkeiten des Frameworks
MÜSSEN berücksichtigt werden. Die Session-ID MUSS ausreichend geschützt werden, wenn sie
übertragen und vom Client gespeichert wird.
Eine Webanwendung MUSS den Benutzern die Möglichkeit geben, eine bestehende Sitzung explizit zu
beenden. Nachdem sich der Benutzer angemeldet hat, MUSS eine bereits bestehende Session-ID durch
eine neue ersetzt werden. Sitzungen MÜSSEN eine maximale Gültigkeitsdauer besitzen (Timeout).
Inaktive Sitzungen MÜSSEN automatisch nach einer bestimmten Zeit ungültig werden. Nachdem die
Sitzung ungültig ist, MÜSSEN alle Sitzungsdaten sowohl server- als auch clientseitig ungültig und
gelöscht sein.
APP.3.1.A4           Kontrolliertes Einbinden von Daten und Inhalten bei Webanwendungen
[Entwickler] (B)
Entwickler MÜSSEN sicherstellen, dass eine Webanwendung ausschließlich vorgesehene Daten und
Inhalte einbindet und an den Benutzer ausliefert. Falls eine Webanwendung eine Upload-Funktion für
Dateien anbietet, MUSS diese Funktion durch den IT-Betrieb so weit wie möglich eingeschränkt
werden. Auch Zugriffs- und Ausführungsrechte MÜSSEN in diesem Fall restriktiv gesetzt werden.
Zudem MUSS sichergestellt werden, dass ein Benutzer Dateien nur im vorgegebenen Pfad speichern
kann. Die Entwickler MÜSSEN sicherstellen, dass der Benutzer den Ablageort der Uploads nicht
beeinflussen kann.
Die Ziele der Weiterleitungsfunktion einer Webanwendung MÜSSEN ausreichend eingeschränkt
werden, sodass Benutzer ausschließlich auf vertrauenswürdige Webseiten weitergeleitet werden.
Verlässt ein Benutzer die Vertrauensdomäne, MUSS ihn die Webanwendung darüber informieren.
APP.3.1.A5           Protokollierung sicherheitsrelevanter Ereignisse von Webanwendungen
[Entwickler] (B)
Entwickler MÜSSEN sicherstellen, dass eine Webanwendung sicherheitsrelevante Ereignisse mit den
erforderlichen Merkmalen nachvollziehbar protokolliert. Die sicherheitsrelevanten
Protokollierungsdaten MÜSSEN regelmäßig durch den IT-Betrieb ausgewertet werden. Bei der
Auswertung der Protokollierungsdaten MUSS sichergestellt werden, dass Schadcode in Protokoll-
Einträgen vom Auswertungsprogramm nicht interpretiert wird.

Stand Februar 2020                                                                  Seite 4 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

APP.3.1.A6           ENTFALLEN (B)
Diese Anforderung ist entfallen.
APP.3.1.A7           Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen
[Entwickler] (B)
Die Entwickler einer Webanwendung und deren Betreiber MÜSSEN sicherstellen, dass die Anwendung
vor automatisierten Zugriffen geschützt wird. Dabei MUSS jedoch berücksichtigt werden, wie sich die
Schutzmechanismen auf die Nutzungsmöglichkeiten berechtigter Benutzer auswirken. Wenn die
Webanwendung RSS-Feeds oder andere Funktionen enthält, die explizit für die automatisierte Nutzung
vorgesehen sind, MUSS dies ebenfalls bei der Konfiguration der Schutzmechanismen berücksichtigt
werden.
APP.3.1.A14          Schutz vertraulicher Daten [Entwickler] (B)
Entwickler MÜSSEN sicherstellen, dass die Daten vom Client zum Server nur mit der HTTP-Post-
Methode übertragen werden.
Entwickler MÜSSEN sicherstellen, dass die Webanwendung durch Direktiven gewährleistet, dass
clientseitig keine schützenswerten Daten zwischengespeichert werden. Weiterhin MÜSSEN Entwickler
sicherstellen, dass in Formularen keine vertraulichen Formulardaten im Klartext angezeigt werden. Die
Webanwendung SOLLTE verhindern, dass vertrauliche Daten vom Webbrowser unerwartet gespeichert
werden. Zugangsdaten der Webanwendung MÜSSEN serverseitig mithilfe von sicheren
kryptografischen Algorithmen vor unbefugtem Zugriff geschützt werden (Salted Hash). Ebenso
MÜSSEN die Dateien mit den Quelltexten der Webanwendung vor unerlaubten Abrufen geschützt
werden.
APP.3.1.A16          Umfassende Eingabevalidierung und Ausgabekodierung [Entwickler] (B)
Alle an eine Webanwendung übergebenen Daten MÜSSEN von den Entwicklern als potenziell
gefährlich behandelt und geeignet gefiltert werden. Alle Eingabedaten sowie Datenströme und
Sekundärdaten wie z. B. Session-IDs MÜSSEN validiert werden.
Serverseitig SOLLTEN die Daten auf einem vertrauenswürdigen IT-System geprüft werden.
Fehleingaben SOLLTEN möglichst nicht automatisch behandelt werden (Sanitizing). Lässt es sich
jedoch nicht vermeiden, MUSS Sanitizing sicher umgesetzt werden.
Ausgabedaten MÜSSEN so kodiert werden, dass schadhafter Code auf dem Zielsystem nicht
interpretiert oder ausgeführt wird.
APP.3.1.A19          Schutz vor SQL-Injection [Entwickler] (B)
Werden Daten an ein Datenbank-System weitergeleitet, MÜSSEN die Entwickler Stored Procedures
bzw. Prepared SQL Statements einsetzen, wenn dies von der Einsatzumgebung unterstützt wird. Wenn
weder Stored Procedures noch Prepared SQL Statements eingesetzt werden können, MÜSSEN die SQL-
Queries separat abgesichert werden.

3.2   Standard-Anforderungen
Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der
Technik für den Baustein APP.3.1 Webanwendungen. Sie SOLLTEN grundsätzlich umgesetzt werden.
APP.3.1.A8           Systemarchitektur einer Webanwendung [Beschaffer, Entwickler] (S)
Bereits in der Entwurfsphase einer Webanwendung SOLLTE der Beschaffer Sicherheitsaspekte
beachten. Auch SOLLTE darauf geachtet werden, dass die Architektur der Webanwendung die
Geschäftslogik der Institution exakt erfasst und korrekt umsetzt.
In der Systemarchitektur SOLLTE der IT-Betrieb vorsehen, dass die Serverdienste durch jeweils separate
IT-Systeme voneinander getrennt sind. Auch SOLLTEN jeweils eigene Benutzerkonten für die
unterschiedlichen Serverprozesse der Systemkomponenten verwendet werden. Dabei SOLLTEN die
Rechte dieser Dienstkonten auf Betriebssystemebene soweit eingeschränkt werden, dass nur auf die

Stand Februar 2020                                                                  Seite 5 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

erforderlichen Ressourcen und Dateien des Betriebssystems zugegriffen werden kann.
Die Softwarearchitektur der Webanwendung SOLLTE mit allen Bestandteilen und Abhängigkeiten von
den Entwicklern dokumentiert werden. Die Dokumentation SOLLTE bereits während des
Projektverlaufs aktualisiert und angepasst werden. Die Dokumentation SOLLTE so gestaltet sein, dass
Entscheidungen nachvollziehbar sind und sie schon in der Entwicklungsphase benutzt werden kann. Es
SOLLTEN in der Dokumentation alle für den Betrieb notwendigen Komponenten, die nicht Bestandteil
der Webanwendung sind, als solche gekennzeichnet werden. Ebenso SOLLTE daraus hervorgehen,
welche Komponenten welche Sicherheitsmechanismen umsetzen, wie die Webanwendung in eine
bestehende Infrastruktur integriert wird und welche kryptografischen Funktionen und Verfahren
eingesetzt werden.
APP.3.1.A9         Beschaffung, Entwicklung und Erweiterung von Webanwendungen
[Entwickler, Beschaffer] (S)
Wenn Produkte für Webanwendungen beschafft werden, SOLLTE vom Beschaffer ein
Anforderungskatalog erstellt werden. Um verschiedene Produkte miteinander vergleichen zu können,
SOLLTE eine Bewertungsskala entwickelt werden.
Wird die eigentliche Webanwendung oder eine Erweiterung dazu selbst entwickelt, SOLLTEN die
Entwickler ein geeignetes Vorgehensmodell benutzen. Dabei SOLLTEN vor der Inbetriebnahme alle
Phasen des Modells durchlaufen werden. Für die Entwicklung SOLLTEN zudem
Programmierrichtlinien vorgegeben werden, die dabei helfen, ein einheitliches Sicherheitsniveau zu
etablieren.
Wenn die Sicherheitsmechanismen einer Webanwendung entworfen und entwickelt werden, SOLLTEN
diese möglichst künftige Standards und Angriffstechniken berücksichtigen. Bei der
Anwendungsentwicklung SOLLTEN die Entwicklungs-, Test- und Produktivsysteme voneinander
getrennt sein.
Falls die Webanwendung von einem Dienstleister entwickelt wird, SOLLTE der Beschaffer sicherstellen,
dass der Dienstleister die nötigen Sicherheitsanforderungen bei der Entwicklung umsetzt und der
Auftraggeber jederzeit auf den Quelltext zugreifen kann.
APP.3.1.A10          ENTFALLEN (S)
Diese Anforderung ist entfallen.
APP.3.1.A11          Sichere Anbindung von Hintergrundsystemen (S)
Hintergrundsysteme von Webanwendungen, auf denen Funktionalitäten und Daten ausgelagert
werden, SOLLTEN ausreichend geschützt werden. Der Zugriff auf Hintergrundsysteme SOLLTE
ausschließlich über definierte Schnittstellen und von definierten Systemen aus möglich sein. Bei der
Kommunikation über Standort- und Netzgrenzen hinweg SOLLTE der Datenverkehr authentisiert und
verschlüsselt werden. Zugriffe der Webanwendung auf Hintergrundsysteme SOLLTEN zudem mit
minimalen Rechten erfolgen.
Beim Einsatz eines Enterprise Service Bus (ESB) SOLLTE ein eigenes logisches Netzsegment für den ESB
vorhanden sein. Der Zugriff auf den ESB SOLLTE ausschließlich durch die angeschlossenen
Anwendungen und Dienste möglich sein. Alle Zugriffe auf den ESB SOLLTEN authentisiert und bei der
Kommunikation über Standort- und Netzgrenzen hinweg verschlüsselt sein.
APP.3.1.A12          Sichere Konfiguration von Webanwendungen (S)
Eine Webanwendung SOLLTE so konfiguriert sein, dass auf ihre Ressourcen und Funktionen
ausschließlich über die vorgesehenen, abgesicherten Kommunikationspfade zugegriffen werden kann.
Der Zugriff auf nicht benötigte Ressourcen und Funktionen SOLLTE daher eingeschränkt werden.
Folgendes SOLLTE bei der Konfiguration von Webanwendungen berücksichtigt werden:
   • Deaktivierung nicht benötigter HTTP-Methoden,

Stand Februar 2020                                                                 Seite 6 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

   • Zeichenkodierungskonfiguration,
   • Festlegung von Grenzwerten für Zugriffsversuche sowie
   • Administration einer Webanwendung.
APP.3.1.A13          Restriktive Herausgabe sicherheitsrelevanter Informationen (S)
Webseiten und Rückantworten von Webanwendungen SOLLTEN keine Informationen enthalten, die
einem Angreifer Hinweise darauf geben, wie er Sicherheitsmechanismen umgehen kann.
Konfigurationsdateien der Webanwendung SOLLTEN außerhalb des Web-Root-Verzeichnisses
gespeichert werden.
APP.3.1.A15          Verifikation essenzieller Änderungen [Entwickler] (S)
Sollen wichtige Einträge geändert werden, SOLLTEN die Entwickler sicherstellen, dass die Änderungen
durch die Eingabe eines Passworts erneut verifiziert werden. Falls dies nicht möglich ist, SOLLTE die
Anwendung auf andere geeignete Weise sicherstellen, dass sich der Benutzer authentisiert. Die
Benutzer SOLLTEN über Änderungen mithilfe von Kommunikationswegen außerhalb der Web-
Anwendung informiert werden.
APP.3.1.A17          Fehlerbehandlung [Entwickler] (S)
Treten während des Betriebs einer Webanwendung Fehler auf, SOLLTEN Entwickler diese so
behandeln, dass die Webanwendung weiter in einem konsistenten Zustand bleibt. Das heißt:
   • Fehlermeldungen SOLLTEN protokolliert werden,
   • eine veranlasste Aktion SOLLTE im Fehlerfall abgebrochen werden und
   • in der Folge SOLLTE der Zugriff auf die angeforderte Ressource oder Funktion abgewiesen
     werden.
Zuvor reservierte Ressourcen SOLLTEN im Rahmen der Fehlerbehandlung wieder freigegeben werden.
Auch SOLLTE der Fehler möglichst von der Webanwendung selbst behandelt werden.
APP.3.1.A18          ENTFALLEN (S)
Diese Anforderung ist entfallen.
APP.3.1.A21          Sichere HTTP-Konfiguration bei Webanwendungen [Entwickler] (S)
Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen SOLLTEN die Entwickler
sowie der IT-Betrieb geeignete HTTP-Response-Header setzen. Dazu SOLLTEN mindestens die
folgenden Direktiven verwendet werden: Content-Security-Policy, möglicherweise X-FRAME-
OPTIONS, Strict-Transport-Security, X-XSS-Protection, Content-Type, X-Content-Type-Options sowie
Cache-Control.
Cookies SOLLTEN grundsätzlich mit den Attributen secure und httponly gesetzt werden.
APP.3.1.A22          Überprüfung von Webanwendungen (S)
Webanwendungen SOLLTEN regelmäßig auf Sicherheitsprobleme hin überprüft werden. Auch
SOLLTEN regelmäßig Revisionen durchgeführt werden. Die Ergebnisse SOLLTEN nachvollziehbar
dokumentiert, ausreichend geschützt und vertraulich behandelt werden. Abweichungen SOLLTE
nachgegangen werden. Die Ergebnisse SOLLTEN dem ISB vorgelegt werden.
APP.3.1.A23          Verhinderung von Cross-Site-Request-Forgery [Entwickler] (S)
Die Entwickler einer Webanwendung SOLLTEN diese mit Sicherheitsmechanismen ausstatten, die es
ermöglichen, beabsichtigte Seitenaufrufe des Benutzers von unbeabsichtigt weitergeleiteten Befehlen
Dritter zu unterscheiden. Mindestens SOLLTE dabei geprüft werden, ob neben der Session-ID ein
geheimes Token für den Zugriff auf geschützte Ressourcen und Funktionen benötigt wird.

3.3   Anforderungen bei erhöhtem Schutzbedarf
Im Folgenden sind für den Baustein APP.3.1 Webanwendungen exemplarische Vorschläge für

Stand Februar 2020                                                                  Seite 7 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau
hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die
konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen
Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C =
Vertraulichkeit, I = Integrität, A = Verfügbarkeit).
APP.3.1.A20           Einsatz von Web Application Firewalls (H)
Institutionen SOLLTEN auf Web Application Firewalls (WAF) zurückgreifen. Wird eine WAF eingesetzt,
SOLLTE die Konfiguration auf die zu schützende Webanwendung angepasst werden. Die Konfiguration
der WAF SOLLTE nach jedem Update der Webanwendung geprüft werden.
APP.3.1.A24           Verhinderung der Blockade von Ressourcen [Entwickler] (H)
Zum Schutz vor Denial-of-Service (DoS)-Angriffen SOLLTEN ressourcenintensive Operationen
vermieden und besonders abgesichert werden. Ebenso SOLLTE ein möglicher Überlauf von
Protokollierungsdaten bei Webanwendungen überwacht und verhindert werden.
APP.3.1.A25           Kryptografische Sicherung vertraulicher Daten [Entwickler] (H)
Entwickler und Betreiber einer Webanwendung SOLLTEN sicherstellen, dass vertrauliche Daten einer
Webanwendung durch sichere, kryptografische Algorithmen geschützt werden.

4 Weiterführende Informationen
4.1      Wissenswertes
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im Dokument „Hilfsmittel zur
Nutzung des Bausteins Webanwendungen“ Hinweise zum Umgang mit diesem Baustein zur Verfügung.
Das Open Web Application Security Projekt stellt auf seiner Webseite Hinweise zur Absicherung von
Webanwendungen zur Verfügung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im Dokument „Kryptographische
Verfahren: Empfehlungen und Schlüssellängen: BSI TR-02102“ Hinweise zur Anwendung
kryptografischer Verfahren zur Verfügung.

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen
Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den
Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch
welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten
Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt. Die
Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche
Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die
folgenden elementaren Gefährdungen sind für den Baustein APP.3.1 Webanwendungen von Bedeutung.
G 0.18      Fehlplanung oder fehlende Anpassung
G 0.19      Offenlegung schützenswerter Informationen
G 0.20      Informationen oder Produkte aus unzuverlässiger Quelle
G 0.21      Manipulation von Hard- oder Software
G 0.22      Manipulation von Informationen
G 0.23      Unbefugtes Eindringen in IT-Systeme
G 0.28      Software-Schwachstellen oder -Fehler
G 0.30      Unberechtigte Nutzung oder Administration von Geräten und Systemen

Stand Februar 2020                                                                      Seite 8 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

G 0.32    Missbrauch von Berechtigungen
G 0.36    Identitätsdiebstahl
G 0.39    Schadprogramme
G 0.40    Verhinderung von Diensten (Denial of Service)
G 0.43    Einspielen von Nachrichten
G 0.46    Integritätsverlust schützenswerter Informationen

Stand Februar 2020                                           Seite 9 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

Elementare       CIA   G    G    G    G    G    G    G    G    G    G    G    G    G
Gefährdungen           0.19 0.20 0.21 0.22 0.23 0.28 0.30 0.32 0.36 0.39 0.40 0.43 0.46

Anforderungen

APP.3.1.A1             X                  X   X       X   X    X                      X

APP.3.1.A2             X                  X   X       X   X    X                      X

APP.3.1.A3             X                  X   X       X   X    X                X     X

APP.3.1.A4             X          X       X   X       X   X    X                X     X

APP.3.1.A5                                    X       X        X

APP.3.1.A6

APP.3.1.A7                                    X   X

APP.3.1.A8                  X     X               X

APP.3.1.A9             X          X           X       X   X    X                X     X

APP.3.1.A10

APP.3.1.A11            X    X     X       X   X   X   X   X    X    X     X     X     X

APP.3.1.A12            X                  X   X       X   X    X                X     X

APP.3.1.A13                               X   X       X   X    X                      X

APP.3.1.A14                               X   X                     X           X     X

APP.3.1.A15            X          X                                       X

APP.3.1.A16                                   X       X        X

APP.3.1.A17            X          X       X   X       X   X    X                X     X

APP.3.1.A18

APP.3.1.A19            X          X       X   X       X   X    X                X     X

APP.3.1.A20      CIA   X          X       X   X       X   X    X    X     X     X     X

APP.3.1.A21            X                                  X    X                      X

APP.3.1.A22            X          X       X   X   X   X   X    X    X     X     X     X

APP.3.1.A23            X                  X   X       X   X    X    X                 X

Stand Februar 2020                                                      Seite 10 von 11
IT-Grundschutz | APP.3.1 Webanwendungen

APP.3.1.A24      A                          X

APP.3.1.A25      CI    X                          X

Stand Februar 2020                        Seite 11 von 11
Sie können auch lesen
Rechtliche Grundlagen für die eigene App (unter freier Lizenz) - John Weitzmann pb21.de Web 2.0 in der politischen Bildung
Rechtliche Grundlagen für die eigene App (unter freier Lizenz) - John Weitzmann pb21.de Web 2.0 in der politischen Bildung
SPORTDEUTSCHLAND - DIE VEREINSAPP - Informationsbroschüre: App-Förderaktion
SPORTDEUTSCHLAND - DIE VEREINSAPP - Informationsbroschüre: App-Förderaktion
Terrassengenuss Draußen leben mit weinor Markisen - weinor Markisen - Draußen leben mit weinor Markisen
Terrassengenuss Draußen leben mit weinor Markisen - weinor Markisen - Draußen leben mit weinor Markisen
Aareal Sign Kurzhandbuch Version 2.5.2
Aareal Sign Kurzhandbuch Version 2.5.2
BMSGPK Position zu Contact Tracing Apps - Stand: 10.06.2020
BMSGPK Position zu Contact Tracing Apps - Stand: 10.06.2020
Richtlinie Feuerwehr-Gebäudefunkanlagen - Errichten und Betreiben im Stadtgebiet Karlsruhe - Stadt Karlsruhe
Richtlinie Feuerwehr-Gebäudefunkanlagen - Errichten und Betreiben im Stadtgebiet Karlsruhe - Stadt Karlsruhe
BENUTZUNGSORDNUNG - Gelnhausen
BENUTZUNGSORDNUNG - Gelnhausen
Tierhaltung (VSG 4.1) - Unfallverhütungsvorschrift vom 1. Januar 2000 in der Fassung vom 12. November 2020
Tierhaltung (VSG 4.1) - Unfallverhütungsvorschrift vom 1. Januar 2000 in der Fassung vom 12. November 2020
FAQs zu Kapitel 7 des Leitfadens Prävention - Veröffentlichung am 02.09.2021
FAQs zu Kapitel 7 des Leitfadens Prävention - Veröffentlichung am 02.09.2021
Mini JUMBO JUMBO Plus - GEBRUIKSAANWIJZING OPERATING INSTRUCTIONS BEDIENUNGSANLEITUNG MODE D'EMPLOI
Mini JUMBO JUMBO Plus - GEBRUIKSAANWIJZING OPERATING INSTRUCTIONS BEDIENUNGSANLEITUNG MODE D'EMPLOI
Anne-Frank-Realschule Ahaus
Anne-Frank-Realschule Ahaus
Fragen und Antworten zur elektronischen Gesundheitskarte (eGK) Für Ihre Presse- und Öffentlichkeitsarbeit (Stand: 09.07.2021) - VDEK
Fragen und Antworten zur elektronischen Gesundheitskarte (eGK) Für Ihre Presse- und Öffentlichkeitsarbeit (Stand: 09.07.2021) - VDEK
TWENTY E-POWER TWENTYFOUR-SIX E-POWER TWENTYFOUR E-POWER PRO TWENTYSIX E-POWER PRO TWENTYSEVEN5 E-POWER PRO
TWENTY E-POWER TWENTYFOUR-SIX E-POWER TWENTYFOUR E-POWER PRO TWENTYSIX E-POWER PRO TWENTYSEVEN5 E-POWER PRO
Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung - Teil 2: eID-Karten und hoheitliche Dokumente
Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung - Teil 2: eID-Karten und hoheitliche Dokumente
Willkommen in Davos! - Athleten-Info
Willkommen in Davos! - Athleten-Info
Schrägdachmontage AK Für Dachsteine, Dachziegel, Biberschwanz und Schiefer - Montageanleitung
Schrägdachmontage AK Für Dachsteine, Dachziegel, Biberschwanz und Schiefer - Montageanleitung
Die Facharbeit schreiben - Webflow
Die Facharbeit schreiben - Webflow
RUNDSCHREIBEN AN DIE KUNDEN - Einheitsbestätigung 2021 - Übergabe an den Steuerzahler und Übermittlung an die Agentur für Einnahmen - Steuerservice
RUNDSCHREIBEN AN DIE KUNDEN - Einheitsbestätigung 2021 - Übergabe an den Steuerzahler und Übermittlung an die Agentur für Einnahmen - Steuerservice
Verkehrs- und Mobilitätswende für den Klimaschutz - Einleitung
Verkehrs- und Mobilitätswende für den Klimaschutz - Einleitung
Hülsenmarkise SATURN / FLORENZ - Montageanleitung - MHZ
Hülsenmarkise SATURN / FLORENZ - Montageanleitung - MHZ
Landtagswahl 2021 in Baden-Württemberg Freiräume und Verlässlichkeit für Weltmarktführer
Landtagswahl 2021 in Baden-Württemberg Freiräume und Verlässlichkeit für Weltmarktführer
X-line Raffstore mit KNX-Schnittstelle - für Jalousien und Raffstoren - GEIGER Antriebstechnik
X-line Raffstore mit KNX-Schnittstelle - für Jalousien und Raffstoren - GEIGER Antriebstechnik
Systemhandbuch LUXORliving Version
Systemhandbuch LUXORliving Version
Besondere Bestimmungen aufgrund des Coronavirus - Stand 21. Dezember 2021
Besondere Bestimmungen aufgrund des Coronavirus - Stand 21. Dezember 2021
Europas Weg zur Klimaneutralität - Delara Burkhardt
Europas Weg zur Klimaneutralität - Delara Burkhardt
Zuchtordnung für Labrador-Retriever im Deutschen Retriever Club e.V - Beschlossen durch die Züchterversammlung am 06.05.2001, zuletzt geändert ...
Zuchtordnung für Labrador-Retriever im Deutschen Retriever Club e.V - Beschlossen durch die Züchterversammlung am 06.05.2001, zuletzt geändert ...
Bedienungs- und Wartungsanleitung für Aussenraffstore - mit Schienenoder Seilführung und Motor- oder Handkurbelbedienung
Bedienungs- und Wartungsanleitung für Aussenraffstore - mit Schienenoder Seilführung und Motor- oder Handkurbelbedienung
RICHTIGE FAHRWERK! FÜR JEDEN ANSPRUCH DAS - KW STREET COMFORT KW STREET PERFORMANCE - ravasicorse.ch
RICHTIGE FAHRWERK! FÜR JEDEN ANSPRUCH DAS - KW STREET COMFORT KW STREET PERFORMANCE - ravasicorse.ch
MANAGED APPLICATION RETIREMENT SERVICES - Leistungsbeschreibung & zusätzliche Bedingungen - Open Telekom Cloud
MANAGED APPLICATION RETIREMENT SERVICES - Leistungsbeschreibung & zusätzliche Bedingungen - Open Telekom Cloud
(LM) Durchführungsbestimmungen 2021 für die Berlin-Brandenburgische Landesserie (LS) und die Landesmeisterschaften Beachvolleyball der ...
(LM) Durchführungsbestimmungen 2021 für die Berlin-Brandenburgische Landesserie (LS) und die Landesmeisterschaften Beachvolleyball der ...
Handlungsempfehlungen des Sicherheitsmanagement-Teams (SMT) der Goethe-Universität Frankfurt zu Nutzung von Online- und Internetdiensten - Uni ...
Handlungsempfehlungen des Sicherheitsmanagement-Teams (SMT) der Goethe-Universität Frankfurt zu Nutzung von Online- und Internetdiensten - Uni ...
Oberpfalz - KAMIN- UND PELLETÖFEN 2021 / 2022 - Koppe Öfen
Oberpfalz - KAMIN- UND PELLETÖFEN 2021 / 2022 - Koppe Öfen
Frequently Asked Questions (FAQ) Die am ha ufigsten gestellten Fragen zu kitaorg - You and You Verlag
Frequently Asked Questions (FAQ) Die am ha ufigsten gestellten Fragen zu kitaorg - You and You Verlag
Produktkatalog Instrumente & Systeme - Zeiss
Produktkatalog Instrumente & Systeme - Zeiss
Urheberrecht kreatives Schaffen im Netz - URHEBER - Medienfachberatung
Urheberrecht kreatives Schaffen im Netz - URHEBER - Medienfachberatung
UNIVERSALDIENST ALS DASEINSVORSORGE
UNIVERSALDIENST ALS DASEINSVORSORGE
Terra CLOUD Leistungsbeschreibung SaaS Backup
Terra CLOUD Leistungsbeschreibung SaaS Backup
Geschäftschancen Brasilien - für deutsche Unternehmen aus der Wasser- und Abwasserwirtschaft 29. November bis 03. Dezember 2021 - Lateinamerika ...
Geschäftschancen Brasilien - für deutsche Unternehmen aus der Wasser- und Abwasserwirtschaft 29. November bis 03. Dezember 2021 - Lateinamerika ...
Anbaugeräte für Bagger - DMS Technologie GmbH
Anbaugeräte für Bagger - DMS Technologie GmbH
Wirtschafts- und Sozialstruktur Land Salzburg - März 2020
Wirtschafts- und Sozialstruktur Land Salzburg - März 2020
DATEN MEDIA DATEN 20202021 - Apotheken Umschau
DATEN MEDIA DATEN 20202021 - Apotheken Umschau
Anleitung für Behörden zur Benutzer- und Unternehmensverwaltung in TRACES-NT - Traces FLI
Anleitung für Behörden zur Benutzer- und Unternehmensverwaltung in TRACES-NT - Traces FLI
Kursprogramm 2020 Lehrgang für Behindertenvertrauenspersonen - Die kompetenten AnsprechpartnerInnen im Betrieb und in der Dienststelle - KOBV ...
Kursprogramm 2020 Lehrgang für Behindertenvertrauenspersonen - Die kompetenten AnsprechpartnerInnen im Betrieb und in der Dienststelle - KOBV ...
Programmierrichtlinien für Standard-C++ - Prof. Dr. Oliver Bittel Prof. Dr. Heiko von Drachenfels Fachbereich Informatik Fachhochschule Konstanz ...
Programmierrichtlinien für Standard-C++ - Prof. Dr. Oliver Bittel Prof. Dr. Heiko von Drachenfels Fachbereich Informatik Fachhochschule Konstanz ...
WELTKUNST Preisliste 2023 - Die Glanzseiten der ZEIT - ZEIT Media
WELTKUNST Preisliste 2023 - Die Glanzseiten der ZEIT - ZEIT Media
Konzerndaten im Weltall - Der Weg zu einer multinationalen Datenplattform
Konzerndaten im Weltall - Der Weg zu einer multinationalen Datenplattform
Media-Informationen 2019 - sensor magazin
Media-Informationen 2019 - sensor magazin
Psychotherapie im Umbruch - Woche 1 | 12. bis 17. April 2020 Vorträge und Vorlesungen zu den Themenwochen Seminare und Kurse zur Vielfalt der ...
Psychotherapie im Umbruch - Woche 1 | 12. bis 17. April 2020 Vorträge und Vorlesungen zu den Themenwochen Seminare und Kurse zur Vielfalt der ...
Fortbildungen für Hochschul-angehörige in Englisch und beruflicher Kommunikation - York Associates
Fortbildungen für Hochschul-angehörige in Englisch und beruflicher Kommunikation - York Associates
Gesundheitsforschung mit Versicherungsdaten - Pflicht oder Kür? - Jusletter
Gesundheitsforschung mit Versicherungsdaten - Pflicht oder Kür? - Jusletter
Wir verwenden Cookies. Bitte beachten Sie die Datenschutzbestimmungen.