www.wikidata.de-de.nina.az

Ebenenmodell Informatik Ein Ebenenmodell dient dazu die Zuständigkeiten der relevanten Organisationsbereiche den einzeln

Ebenenmodell (Informatik)

Ein Ebenenmodell dient dazu, die Zuständigkeiten der relevanten Organisationsbereiche den einzelnen Teilaufgaben bei der Sicherheitskonzeption und Realisierung von Webanwendungen zuzuordnen. Ausgangspunkt ist eine Unterteilung in 6 Ebenen (Ebene 0 bis Ebene 5):

Ebene Inhalt (Kurzfassung) Verantwortlich Fachkenntnisse
5 Semantik Schutz vor Täuschung und Betrug Zentrale Corporate Identity und Unternehmenskommunikation
4 Logik Absicherung von Prozessen und Workflows als Ganzes Auftraggeber Kenntnisse der Geschäftsprozesse
3 Implementierung Vermeiden von Programmierfehlern, die zu Schwachstellen führen Entwickler (Umsetzer) Softwareentwicklung
2 Technik Richtige Wahl und sicherer Einsatz von Technik Fachentwickler, IT-Betrieb Allgemeine IT-Security
1 System Absicherung der auf der Systemplattform eingesetzten Software IT-Betrieb Netzwerk- und Systemadministration
0 Netzwerk & Host Absicherung von Host und Netzwerk

Ebenen Bearbeiten

Ebene 0 – Netzwerk und Host Bearbeiten

Die Ebene von Netzwerk, Server-Hardware und darauf laufendem Betriebssystem wird hier nicht direkt der Sicherheit der Webanwendung zugeordnet. Diese Ebene schließt sich vielmehr nach unten an. Die Umsetzung grundlegender Sicherheitsmaßnahmen auf dieser Ebene wird gleichwohl als zwingende Voraussetzung für sichere Webanwendungen betrachtet.

Ebene 1 – Systemebene Bearbeiten

Bei der Systemebene werden all jene Programme betrachtet, die für das Funktionieren der gesamten Webanwendung benötigt werden. Dazu gehören der Webserver und der Anwendungsserver, aber auch Datenbank- und Backend-Systeme. Diese Komponenten müssen bei der Sicherheitskonzeption einer Webanwendung mit einbezogen werden und entsprechend eingestellt werden.

Ebene 2 – Technologie Bearbeiten

Diese Ebene der Technologie betrifft die Verwendung der für den jeweiligen Einsatzzweck und Schutzbedarf richtigen Technologie, sowie deren korrekte Nutzung. So z. B. setzt eine Webanwendung, die sensible Daten unverschlüsselt über das Internet transferiert, nicht die richtige Technologie ein. Eine Webanwendung, die Passwörter zwar verschlüsselt, dafür aber einen zu kurzen Schlüssel verwendet, setzt ggf. eine richtige Technologie falsch ein.

Ebene 3 – Implementierung Bearbeiten

Die Implementierungsebene umfasst den Bereich der unbeabsichtigten Programmfehler (Bugs), aber auch nicht vorhandene oder ungenügende Prüfung von Eingabedaten (Data Validation). Diese Ebene beinhaltet ferner ungenügende Testverfahren, und die Vernachlässigung der Qualitätssicherung beispielsweise aus Kostengründen.

Ebene 4 – Logik Bearbeiten

Diese Ebene betrifft sowohl die Logik der Abläufe innerhalb einer Webanwendung, als auch die Interaktion mit dem Benutzer. Ist diese zu 'zweckorientiert' implementiert, kann gegebenenfalls eine Missbrauchsmöglichkeit vorliegen. Wird etwa zur Verhinderung einer mehrfach wiederholten Eingabe eines Passwortes nach dem fünften fehlerhaften Loginversuch die entsprechende Benutzerkennung gesperrt, so könnte dieser Benutzer durch Dritte gezielt ausgesperrt werden, sofern keine weiteren Maßnahmen getroffen werden. Diese missbräuchliche Vorgehensweise wird weiter erleichtert, wenn die Benutzerkennung einfach zu erraten ist.

Ebene 5 – Semantik Bearbeiten

Die semantische Ebene umfasst inhalts- und kommunikationsbezogene Aspekte. Sie stellt den Vertrauenskontext für die Interaktion mit einem Benutzer her. Wird in diesem Bereich nicht ein hohes Maß an Sorgfalt aufgewendet, so kann eine Webanwendung von Dritten missbraucht werden, um einen Benutzer zu täuschen. Dieser Bereich kann selten auf eine einzelne Anwendung beschränkt bleiben. Vielmehr ist eine website- oder unternehmensübergreifende Betrachtung notwendig. Missbrauchsmöglichkeiten, die sich Fehler auf der semantischen Ebene zunutze machen, sind Social Engineering, Phishing, Identitätsdiebstahl etc.

Siehe auch Bearbeiten

Literatur Bearbeiten

  • Hacking Exposed: Web Applications: Web Application Security Secrets and Solutions von Joel Scambray, Vincent Liu und Caleb Sima beim Verlag Mcgraw-Hill Professional; 3. Auflage. (1. November 2010); ISBN 978-0071740647

Einzelnachweise Bearbeiten

wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Ein Ebenenmodell dient dazu die Zustandigkeiten der relevanten Organisationsbereiche den einzelnen Teilaufgaben bei der Sicherheitskonzeption und Realisierung von Webanwendungen zuzuordnen Ausgangspunkt ist eine Unterteilung in 6 Ebenen Ebene 0 bis Ebene 5 Ebene Inhalt Kurzfassung Verantwortlich Fachkenntnisse5 Semantik Schutz vor Tauschung und Betrug Zentrale Corporate Identity und Unternehmenskommunikation4 Logik Absicherung von Prozessen und Workflows als Ganzes Auftraggeber Kenntnisse der Geschaftsprozesse3 Implementierung Vermeiden von Programmierfehlern die zu Schwachstellen fuhren Entwickler Umsetzer Softwareentwicklung2 Technik Richtige Wahl und sicherer Einsatz von Technik Fachentwickler IT Betrieb Allgemeine IT Security1 System Absicherung der auf der Systemplattform eingesetzten Software IT Betrieb Netzwerk und Systemadministration0 Netzwerk amp Host Absicherung von Host und NetzwerkInhaltsverzeichnis 1 Ebenen 1 1 Ebene 0 Netzwerk und Host 1 2 Ebene 1 Systemebene 1 3 Ebene 2 Technologie 1 4 Ebene 3 Implementierung 1 5 Ebene 4 Logik 1 6 Ebene 5 Semantik 2 Siehe auch 3 Literatur 4 EinzelnachweiseEbenen BearbeitenEbene 0 Netzwerk und Host Bearbeiten Die Ebene von Netzwerk Server Hardware und darauf laufendem Betriebssystem wird hier nicht direkt der Sicherheit der Webanwendung zugeordnet Diese Ebene schliesst sich vielmehr nach unten an Die Umsetzung grundlegender Sicherheitsmassnahmen auf dieser Ebene wird gleichwohl als zwingende Voraussetzung fur sichere Webanwendungen betrachtet Ebene 1 Systemebene Bearbeiten Bei der Systemebene werden all jene Programme betrachtet die fur das Funktionieren der gesamten Webanwendung benotigt werden Dazu gehoren der Webserver und der Anwendungsserver aber auch Datenbank und Backend Systeme Diese Komponenten mussen bei der Sicherheitskonzeption einer Webanwendung mit einbezogen werden und entsprechend eingestellt werden Ebene 2 Technologie Bearbeiten Diese Ebene der Technologie betrifft die Verwendung der fur den jeweiligen Einsatzzweck und Schutzbedarf richtigen Technologie sowie deren korrekte Nutzung So z B setzt eine Webanwendung die sensible Daten unverschlusselt uber das Internet transferiert nicht die richtige Technologie ein Eine Webanwendung die Passworter zwar verschlusselt dafur aber einen zu kurzen Schlussel verwendet setzt ggf eine richtige Technologie falsch ein Ebene 3 Implementierung Bearbeiten Die Implementierungsebene umfasst den Bereich der unbeabsichtigten Programmfehler Bugs aber auch nicht vorhandene oder ungenugende Prufung von Eingabedaten Data Validation Diese Ebene beinhaltet ferner ungenugende Testverfahren und die Vernachlassigung der Qualitatssicherung beispielsweise aus Kostengrunden Ebene 4 Logik Bearbeiten Diese Ebene betrifft sowohl die Logik der Ablaufe innerhalb einer Webanwendung als auch die Interaktion mit dem Benutzer Ist diese zu zweckorientiert implementiert kann gegebenenfalls eine Missbrauchsmoglichkeit vorliegen Wird etwa zur Verhinderung einer mehrfach wiederholten Eingabe eines Passwortes nach dem funften fehlerhaften Loginversuch die entsprechende Benutzerkennung gesperrt so konnte dieser Benutzer durch Dritte gezielt ausgesperrt werden sofern keine weiteren Massnahmen getroffen werden Diese missbrauchliche Vorgehensweise wird weiter erleichtert wenn die Benutzerkennung einfach zu erraten ist Ebene 5 Semantik Bearbeiten Die semantische Ebene umfasst inhalts und kommunikationsbezogene Aspekte Sie stellt den Vertrauenskontext fur die Interaktion mit einem Benutzer her Wird in diesem Bereich nicht ein hohes Mass an Sorgfalt aufgewendet so kann eine Webanwendung von Dritten missbraucht werden um einen Benutzer zu tauschen Dieser Bereich kann selten auf eine einzelne Anwendung beschrankt bleiben Vielmehr ist eine website oder unternehmensubergreifende Betrachtung notwendig Missbrauchsmoglichkeiten die sich Fehler auf der semantischen Ebene zunutze machen sind Social Engineering Phishing Identitatsdiebstahl etc Siehe auch BearbeitenInformationssicherheit Identitatsprinzip Webanwendungen Literatur BearbeitenHacking Exposed Web Applications Web Application Security Secrets and Solutions von Joel Scambray Vincent Liu und Caleb Sima beim Verlag Mcgraw Hill Professional 3 Auflage 1 November 2010 ISBN 978 0071740647Einzelnachweise BearbeitenBundesamt fur Sicherheit in der Informationstechnik BSI Massnahmenkatalog und Best Practices fur die Sicherheit von Webanwendungen PDF 884 kB Abgerufen von https de wikipedia org w index php title Ebenenmodell Informatik amp oldid 211397670