Was ist die ÖNORM A7700?

Die ÖNORM A7700 ist eine österreichische Norm, die Anforderungen an die Sicherheit von Webapplikationen definiert. Sie wurde vom Österreichischen Normungsinstitut, auch bekannt als Austrian Standards, entwickelt und stellt den aktuellen Stand der Technik in Bezug auf die Sicherheit von Webanwendungen dar. Die Norm ist in mehrere Teile gegliedert, die verschiedene Aspekte der Webapplikationssicherheit abdecken, von den grundsätzlichen Begriffen bis hin zu detaillierten Anforderungen an den sicheren Betrieb und Datenschutz. Seit ihrer Einführung gilt sie als wichtige Richtlinie für Unternehmen, die Webapplikationen entwickeln oder betreiben, insbesondere in sicherheitskritischen Bereichen wie dem Finanz- oder öffentlichen Sektor.

Welche Teile umfasst die ÖNORM A7700?

Die ÖNORM A7700 besteht aus vier Teilen, die verschiedene Bereiche der Webapplikationenssicherheit abdecken. Diese Struktur ermöglicht eine detaillierte Betrachtung der einzelnen Sicherheitsaspekte, die sowohl bei der Entwicklung als auch beim Betrieb und der Wartung von Webanwendungen zu berücksichtigen sind. Jede dieser Normen adressiert spezifische Sicherheitsanforderungen und berücksichtigt die sich stetig ändernden technologischen Rahmenbedingungen.

ÖNORM A 7700-1: Begriffe

Teil 1 der ÖNORM A7700 bildet die Grundlage der gesamten Normenreihe, indem sie zentrale Begriffe definiert, die in den folgenden Teilen verwendet werden. Es ist essenziell, dass alle Akteure, die mit der Norm arbeiten, ein gemeinsames Verständnis dieser Begriffe haben, um Missverständnisse zu vermeiden. In diesem Teil werden auch wichtige Grundsätze der Webapplikationssicherheit behandelt.

ÖNORM A 7700-2: Anforderungen durch Datenschutz

Teil 2 der Norm beschreibt die Anforderungen an Webapplikationen, die aus den Datenschutzvorgaben resultieren. Mit der Einführung der DSGVO (Datenschutz-Grundverordnung) wurde der Schutz personenbezogener Daten zu einem zentralen Anliegen in der Entwicklung von Webanwendungen. Die ÖNORM A 7700-2 hilft Entwicklern, diese Anforderungen im Einklang mit dem Stand der Technik zu erfüllen und sich an die aktuellen rechtlichen Vorgaben zu halten.

ÖNORM A 7700-3: Anforderungen durch Informationssicherheit

Teil 3 konzentriert sich auf die Anforderungen, die sich aus der Informationssicherheit ergeben. Dieser Teil behandelt Aspekte wie Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Webapplikationen. Er bietet Richtlinien zur Implementierung von Sicherheitsmaßnahmen, um Bedrohungen wie Datendiebstahl, unbefugten Zugriff oder Manipulation von Daten zu verhindern.

ÖNORM A 7700-4: Prüfung

Der vierte und letzte Teil der ÖNORM A7700 befasst sich mit der Prüfung von Webapplikationen. Er legt Methoden und Kriterien fest, um die Einhaltung der in den vorherigen Teilen definierten Sicherheitsanforderungen zu überprüfen. Dieser Teil ist besonders wichtig für Auditoren und Sicherheitsexperten, die die Sicherheit von Webanwendungen bewerten und zertifizieren müssen.

Was sind die sicherheitstechnischen Anforderungen der ÖNORM A7700?

Die ÖNORM A7700 definiert umfassende sicherheitstechnische Anforderungen an Webapplikationen, die sowohl technische als auch organisatorische Maßnahmen umfassen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade) von Informationen zu gewährleisten. Die Norm berücksichtigt dabei verschiedene Bedrohungsszenarien, denen Webapplikationen im Betrieb ausgesetzt sein können, und fordert einen proaktiven Sicherheitsansatz.

Die A 7700-3 deckt ein breites Spektrum an sicherheitsrelevanten Themen ab, darunter:

  1. Architektur:
    Grundlegende Sicherheitsaspekte im Aufbau der Anwendung.
  2. Datenspeicherung/Datentransport:
    Schutz sensibler Einstellungen und Parameter.
  3. Authentifizierung, Autorisierung und Sessionhandling:
    Sichere Benutzerauthentifizierung und Zugriffskontrolle, Implementierung von 2FA.
  4. Schutz vor spezifischen Angriffen:
    Maßnahmen gegen Session-Riding, Click-Jacking, Path-Traversals, maliziösen Dateiup/downloads, Replay-Angriffe, Injections, Datenmanipulation ...
  5. Eingabe- und Ausgabebehandlung:
    Sicherer Umgang mit Benutzereingaben und Datenausgaben (Stichwort XSS, SSTI, ...)
  6. System- und Fehlermeldungen:
    Kontrolle der Informationspreisgabe durch Meldungen.
  7. Kryptographie:
    Einsatz kryptographischer Verfahren zum Schutz von Daten.
  8. Dokumentation:
    Anforderungen an die Dokumentation sicherheitsrelevanter Aspekte.
  9. Protokollierung:
    Aufzeichnung sicherheitsrelevanter Ereignisse.

Welche Anforderungen stellt die ÖNORM A 7700-3 an den sicheren Betrieb von Webapplikationen?

Die ÖNORM A 7700-4 mit dem Titel "Webapplikationen - Anforderungen an den sicheren Betrieb" legt konkrete Richtlinien für den operativen Betrieb sicherer Webapplikationen fest.

  1. Informationssicherheitsmanagementsystem (ISMS):
    Die Norm fordert gleich zu Beginn die Implementierung eines ISMS. Dies bildet die Grundlage für alle weiteren Sicherheitsmaßnahmen und gewährleistet einen systematischen Ansatz zur Informationssicherheit.
  2. Einhaltung des Minimalprinzips:
    Betreiber müssen sicherstellen, dass nur die notwendigen Funktionen und Dienste aktiviert sind, um die Angriffsfläche zu minimieren.
  3. Verwaltung von Softwarekomponenten:
    Es müssen Prozesse zur Auswahl, Aktualisierung und Sicherheitsprüfung aller verwendeten Softwarekomponenten etabliert werden. Dies umfasst regelmäßige Updates und Patches, um bekannte Schwachstellen zu schließen.
  4. Konfiguration der Komponenten:
    Alle Komponenten der Webapplikation müssen sicher konfiguriert werden. Dies beinhaltet die Deaktivierung unnötiger Funktionen und die Anpassung von Standardeinstellungen, um potenzielle Sicherheitsrisiken zu minimieren.
  5. Behandlung von Daten:
    Die Norm legt besonderen Wert auf den sicheren Umgang mit Daten, einschließlich der Verwendung angemessener Verschlüsselungsmethoden für sensible Informationen sowohl bei der Übertragung als auch bei der Speicherung.
  6. Konfiguration von HTTP-Headern:
    Besondere Aufmerksamkeit wird der korrekten Konfiguration von HTTP-Headern gewidmet, da diese eine wichtige Rolle bei der Abwehr verschiedener Angriffsarten spielen.
  7. Protokollierung:
    Es müssen umfassende Protokollierungsmechanismen implementiert werden, um sicherheitsrelevante Ereignisse zu erfassen und zu überwachen. Dies ermöglicht die frühzeitige Erkennung von Sicherheitsvorfällen und unterstützt forensische Analysen.

Zwar werden die folgenden Punkte nicht direkt genannt. Indirekt werden sie aber von ÖNORM A7700 impliziert:

  1. Kontinuierliche Überwachung und Verbesserung:
    Das ISMS und alle Sicherheitsmaßnahmen müssen regelmäßig überprüft und an neue Bedrohungen angepasst werden.
  2. Kompetenzmanagement:
    Betreiber müssen sicherstellen, dass das Personal über die notwendigen Fähigkeiten und Kenntnisse verfügt, um die Sicherheitsanforderungen umzusetzen und zu überwachen.
  3. Incident Response:
    Es sollten Prozesse zur schnellen Erkennung und Reaktion auf Sicherheitsvorfälle etabliert werden.
  4. Compliance:
    Die Einhaltung relevanter gesetzlicher und branchenspezifischer Vorschriften muss gewährleistet sein.

Wie unterscheidet sich die ÖNORM A7700 von anderen Sicherheitsnormen?

Die ÖNORM A7700 hebt sich durch ihren spezifischen Fokus auf Webapplikationen von anderen IT-Sicherheitsnormen ab, die oft einen breiteren Anwendungsbereich haben. Im Gegensatz zu internationalen Normen wie ISO/IEC 27001, die allgemeine Anforderungen an Informationssicherheitsmanagementsysteme stellen, konzentriert sich die ÖNORM A7700 auf die technischen und organisatorischen Sicherheitsanforderungen von Webanwendungen. Diese Spezialisierung macht sie besonders relevant für Entwickler, Betreiber und Einkäufer von Webapplikationen, die sicherstellen müssen, dass ihre Systeme den höchsten Sicherheitsstandards entsprechen.

ISO/IEC 27034 ist hier sicherlich deutlich ähnlicher - wenn auch noch etwas allgemeiner, da hier das Thema allgemeine "Applikationssicherheit" ist.

Wie prüft man, ob man ÖNORM A7700 konform ist?

Organisatorische Maßnahmen können relativ einfach via Checkliste abgearbeitet werden. Die technischen Maßnahmen sollten etwas aufwendiger abgearbeitet werden. Sicherheitslücken können über einen Penetrationstest für Webapplikationen abgedeckt werden. Ein guter Penetrationstester kann gleichzeitig weitere Punkte, wie benötigte Header, Konfigurationen usw. überprüfen. Da die Norm auch Prokollierung und Dokumentation fordert, sollte auch hier ein Blick darauf geworfen werden - das kann auch im Rahmen eines internen Audits und/oder eines Source-Code-Reivews erfolgen. Die Architektur der Applikation sollte ebenfalls überprüft werden - auch hierfür ist ein Penetrationstest keine Lösung. Alle Anforderungen sollten dokumentiert sein, um diese dann mit dem entsprechenden Verantwortlichen abarbeiten zu können. Je nach Anforderung sollte man entsprechende Experten (Penetrationstester, Entwickler, Sysadmin, ...) hinzuziehen.

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema ÖNORM A7700? Schreib uns!

Damian Strobel
Brauchen Sie Unterstützung bei der Umsetzung der ÖNORM A7700? Wir helfen Ihnen gerne.