14:05 - 15:25 Uhr
OWASP als Organisation, OWASP Top 10 als Headliner-Projekt (Vortragssprache: Deutsch)
Ralf Reinhardt
sic[!]sec GmbH
OWASP als Organisation, OWASP Top 10 als Headliner-Projekt
Die Top 10 der Risiken (aka Schwachstellen) von Webanwendungen ist eines der „Headliner“ des Open Web Application Security Projects (OWASP). OWASP hat sich zum Ziel gesetzt, die Anwendungssicherheit nachhaltig zu erhöhen und wird weltweit von vielen freiwilligen Experten aus der InfoSec-Community unterstützt und voran getrieben. OWASP ist eine gemeinnützige Stiftung mit Sitz in den USA, OWASP Europe ein gemeinnütziger eingetragener Verein mit Sitz in Belgien.
Etwa alle drei Jahre gibt es eine Auswertung gesammelter statistischer Daten zu gefundenen Schwachstellen. Damit einher geht ein Update und ggf. eine Neubewertung, was denn aktuell die häufigsten und gefährlichsten Risiken und die zugrunde liegenden Schwachstellen im Bereich derWebanwendungs-Sicherheit sind. Zu jedem Punkt dieser Top 10 wird beschrieben
- was die zugrunde liegende Schwachstelle eigentlich ist
- wie schwierig oder leicht sie zu finden und auszunutzen ist
- wie man feststellen kann, ob man selbst davon betroffen ist
- welche (exemplarischen) Angriffsszenarien es gibt
- wie man diese Risiken (bzw. die zugrunde liegenden Schwachstellen) vermeiden kann
- wie die technischen Auswirkungen einzustufen sind (Auswirkungen auf das Unternehmen, der „business impact“ und wer die möglichen Angreifer („Bedrohungsquellen“) sind wird hierbei jedoch nicht tiefer gehend betrachtet).
Üblicherweise gibt es am Anfang des Dokumentes eine Gegenüberstellung der „alten“ und der „neuen“ OWASP Top 10, in welcher auch die „Auf- und Absteiger“ dargestellt werden. Ein Blick über den Tellerrand am Ende (für Entwickler, für Prüfer und für die Organisation bzw. für das Management) rundet die „Hitliste“ ab.
Die beiden letzten Top 10s stammen aus den Jahren 2010 und 2013, bei beiden hat der Referent maßgeblich als Übersetzer mitgewirkt. Eine Neuauflage war für das Jahr 2016 geplant, wurde aber auf 2017 verschoben.
Ralf Reinhardt, sic[!]sec GmbH
Ralf Reinhardt ist ein international anerkannter IT-Sicherheitsexperte mit Schwerpunkt Web-Anwendungs-Sicherheit. In diesem Zusammenhang führte er an sehr vielen Anwendungen und Systemen großer Unternehmen Penetrationstests durch, analysierte und reviewte deren Architektur und unzählige Zeilen Quellcode. Er inspizierte zahlreiche Binaries durch Reverse Engineering und untersuchte eine Vielzahl an Logfiles. Parallel dazu arbeitete er neben den hieraus resultierenden Berichten an zahllosen Gutachten, Guidelines und Policies für namhafte Kunden mit den Themen Awareness, Gegenmaßnahmen, Secure Coding und Secure Deployment. Weiterhin hat er Spaß an Social Engineering, dem (Umgehen von) Physical Security und dem Vermitteln von An- und Einsichten und Wissen in Schulungen und Workshops.
In den 80ern versendete er seine erste E-Mail mit einem Akustikkoppler, einem Wählscheibentelefon, einem Schwarz-Weiß-Fernseher und einem 8-Bit-Heimcomputer. Einige Jahre später erwarb er den akademischen Grad eines Diplom-Informatikers (FH). Er arbeitete bereits als System- und Datenbankadministrator und als Entwickler und Designer im Enterprise-Umfeld sowohl auf Seite des Clients, der Anwendung und der Datenbank. Er war weiterhin als IT-Projektleiter in der Softwareentwicklung, im Rollout und im produktiven Anwendungsbetrieb tätig. Neben seiner umfassenden Berufserfahrung erwarb er verschiedene Zertifikate, so z.B. als „ITIL v2 Service Manager“, als „Oracle DBA“, im IT-Projektmanagement und hat erfolgreich diverse Prüfungen wie z.B. für den „Fortify Professional“ oder „Certified Information Systems Security Professional“ (CISSP) abgelegt.
Herr Reinhardt ist seit mehreren Jahren Lehrbeauftragter für „Web Application Security“ an der Technischen Hochschule in Nürnberg, Dozent an der IHK Akademie Schwaben, war Mitglied im „International Secure Software Engineering Council“ (ISSECO) und ist Project Leader beim „Open Web Application Security Project“ (OWASP). Hierbei unterstützt er aktiv das German Chapter als Board Member, ist Gründer und war lange Jahre Organisator des Münchner OWASP-Stammtisches, hat maßgeblich an der deutschen Übersetzung der „OWASP Top 10“ mitgewirkt und das OWASP Review-Projekt des Entwurfs des „IT-Grundschutzbausteins Webanwendungen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) geleitet. Aktuell betreut er das Projekt „OWASP Secure Software Contract Annex - auf Deutsch“. Er ist auch seit mehr als 26 Jahren Mitglied im „Chaos Computer Club“ (CCC). Von 2014 bis 2016 war er für den Deutschen Industrie- und Handelskammertag (DIHK) Mitglied der Expertenkommission „Informationsaustausch und operative Sicherheitsprozesse“ zur Ausarbeitung der „Nationalen Wirtschaftsschutzstrategie 2015“ und wurde 2015 in den erweiterten Vorstand des „Verbandes zum Schutz des Rohstoffes Wissen in deutschen Unternehmen (WiDU) e.V.“ für das Ressort „Technologie“ gewählt sowie zum Community Instructor des SANS Institutes für SEC 642 „Advanced Web App Penetration Testing and Ethical Hacking“ ernannt. Er hält weiterhin seit 2016 eine „GIAC Web Application Penetration Tester“ (GWAPT) Zertifizierung und ist Mitglied im GIAC Advisory Board.
Im Jahre 2010 gründete er zusammen mit seinem langjährigen Kollegen Achim Hoffmann die sic[!]sec GmbH - Gesellschaft für Information Security Services - in Gröbenzell bei München. Dort ist er heute als Principal Consultant und Geschäftsführer angestellt.