Security: Top-Ten-Liste der Infrastrukturbedrohungen vorgestellt

Inhaltsverzeichnis

Das jüngste Projekt der bekannten von OWASP (Open Worldwide Application Security Project) herausgegebenen Top-Ten-Listen der Bedrohungen für verschiedene Bereiche sind die "Top 10 Insider Threats". Um Missverständnisse um den Begriff "Insider" auszuräumen und die dahinterstehende Problematik deutlicher zum Ausdruck zu bringen, wird das Projekt zum 25. Oktober 2024 unter der Bezeichnung "OWASP Top 10 Infrastructure Security Risks" veröffentlicht. Als Projektleiter planen wir außerdem für das nächste Release eine Konsolidierung der gefundenen Risiken durch eine größere Datenbasis. Dazu rufen wir zur Mitwirkung auf. Über den Open Call for Data für 2024 und 2025 können Interessierte anonym oder öffentlich Daten für das Projekt zur Verfügung stellen.

Mehr zu IT-Security

• Schwachstellenanalyse: Wie man Zero-Day-Exploits findet – ein Beispiel
•  Security: Top-Ten-Liste der Infrastrukturbedrohungen vorgestellt
• NIS2 und andere Sicherheitskonzepte
• Marktübersicht IT-Sicherheitsservices: Den passenden Anbieter finden
• Windows Server 2025: Etwas mehr AD-Sicherheit
• Wie NIS2 Zulieferer und Dienstleister unter Druck setzt
• Sicheres Anmelden im Netz: RADIUS durch RadSec erweitern
• Interview zum kaum vorhandenen Sicherheitsstandard im öffentlichen Sektor
• Richtlinie: Das bedeutet NIS2 für DNS- und TLD-Anbieter

Die Anzahl der Hackerangriffe auf Unternehmen, Behörden und andere Organisationen und die damit verbundenen Schäden steigen von Jahr zu Jahr. Dadurch wächst auch der Bedarf an verlässlichen Informationen und Hilfestellungen, um Schwachstellen frühzeitig zu erkennen und zu beseitigen. Für Webanwendungen gibt die Non-Profit-Organisation OWASP seit 2003 regelmäßig ihre OWASP Top 10 heraus, die die gängigsten und gefährlichsten Schwachstellen in Webanwendungen auflisten. Hinzu kamen im Laufe der Jahre Listen für Risiken bei mobilen Anwendungen und dem Einsatz von APIs.

iX-tract

• In den letzten Jahren haben Angriffe auf Organisationen aller Art zugenommen – und mit ihnen die Notwendigkeit, sich zu schützen. Die OWASP-Top-10-Listen beschreiben die größten Bedrohungen, gegen die man Sicherheitsmaßnahmen etablieren sollte.
• Neben den bekannten Top-10-Listen für Webanwendungen, Mobilgeräte und -anwendungen und API-Sicherheit soll eine weitere Liste, die OWASP Top 10 Infrastructure Security Risks, dabei helfen, die Risiken für interne Infrastrukturen zu erkennen und zu minimieren.
• Zur Verbesserung der Datenbasis und Aussagekraft der Liste sind alle Interessierten dazu aufgerufen, das gemeinnützige Projekt mit Datenspenden zu unterstützen.

Ein bislang vernachlässigtes Feld sind Schwachstellen in internen Netzwerken, IT-Systemen und Prozessen. In manchen Organisationen herrscht noch der Irrglaube, dass eine Firewall nach außen genüge. Sobald ein Angreifer allerdings einen Weg hindurchgefunden hat, zum Beispiel durch Phishing über einen Mitarbeiter, ist diese Schutzwand hinfällig und interne Sicherheitsmaßnahmen werden nötig. Genau hier setzen die OWASP Top 10 Infrastructure Security Risks an.

Das war die Leseprobe unseres heise-Plus-Artikels " Security: Top-Ten-Liste der Infrastrukturbedrohungen vorgestellt". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.