https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Ebenenmodell_%28Informatik%29Ebenenmodell (Informatik) - Versionsgeschichte2026-06-08T13:29:06ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Ebenenmodell_(Informatik)&diff=2472261&oldid=previmported>Invisigoth67: typo2024-02-12T08:11:56Z<p>typo</p>
<p><b>Neue Seite</b></p><div>Ein '''Ebenenmodell''' dient dazu, die Zuständigkeiten der relevanten Organisationsbereiche den einzelnen Teilaufgaben bei der Sicherheitskonzeption und Realisierung von Webanwendungen zuzuordnen. Ausgangspunkt ist eine Unterteilung in 6 Ebenen (Ebene 0 bis Ebene 5):<br />
<br />
{| class="wikitable"<br />
|-<br />
! colspan="2"| Ebene !! Inhalt (Kurzfassung) !! Verantwortlich !! Fachkenntnisse<br />
|-<br />
| '''5'''|| [[Semantik]]|| Schutz vor Täuschung und Betrug || Zentrale || [[Corporate Identity]] und Unternehmenskommunikation<br />
|-<br />
| '''4'''|| [[Logik]] || Absicherung von Prozessen und Workflows als Ganzes || Auftraggeber || Kenntnisse der Geschäftsprozesse<br />
|-<br />
| '''3'''|| [[Implementierung]] || Vermeiden von Programmierfehlern, die zu Schwachstellen führen || [[Softwareentwickler|Entwickler]] (Umsetzer) || Softwareentwicklung<br />
|-<br />
| '''2'''|| [[Technik]]|| Richtige Wahl und sicherer Einsatz von Technik || Fachentwickler, IT-Betrieb|| Allgemeine IT-Security<br />
|-<br />
| '''1'''|| [[System]]|| Absicherung der auf der Systemplattform eingesetzten Software || rowspan="2" | IT-Betrieb || rowspan="2" | Netzwerk- und Systemadministration<br />
|-<br />
| '''0'''|| [[Netzwerk]] & [[Host (Informationstechnik)|Host]]|| Absicherung von Host und Netzwerk<br />
|}<br />
<br />
== Ebenen ==<br />
=== Ebene 0 – Netzwerk und Host ===<br />
Die Ebene von Netzwerk, [[Server]]-[[Hardware]] und darauf laufendem [[Betriebssystem]] wird hier nicht direkt der Sicherheit der Webanwendung zugeordnet. Diese Ebene schließt sich vielmehr nach unten an. Die Umsetzung grundlegender Sicherheitsmaßnahmen auf dieser Ebene wird gleichwohl als zwingende Voraussetzung für sichere Webanwendungen betrachtet.<br />
<br />
=== Ebene 1 – Systemebene ===<br />
Bei der Systemebene werden all jene Programme betrachtet, die für das Funktionieren der gesamten Webanwendung benötigt werden. Dazu gehören der [[Webserver]] und der [[Anwendungsserver]], aber auch [[Datenbank]]- und [[Frontend und Backend|Backend]]-Systeme. Diese Komponenten müssen bei der Sicherheitskonzeption einer Webanwendung mit einbezogen werden und entsprechend eingestellt werden.<br />
<br />
=== Ebene 2 – Technologie ===<br />
Diese Ebene der Technologie betrifft die Verwendung der für den jeweiligen Einsatzzweck und Schutzbedarf richtigen Technologie sowie deren korrekte Nutzung. So z.&nbsp;B. setzt eine Webanwendung, die sensible Daten [[Transport Layer Security|unverschlüsselt]] über das [[Internet]] transferiert, nicht die richtige Technologie ein. Eine Webanwendung, die Passwörter zwar [[Verschlüsselung|verschlüsselt]], dafür aber einen zu kurzen Schlüssel verwendet, setzt ggf. eine richtige Technologie falsch ein.<br />
<br />
=== Ebene 3 – Implementierung ===<br />
Die Implementierungsebene umfasst den Bereich der unbeabsichtigten [[Programmfehler]] (''Bugs''), aber auch nicht vorhandene oder ungenügende Prüfung von Eingabedaten (''[[Datenvalidierung|Data Validation]]''). Diese Ebene beinhaltet ferner ungenügende Testverfahren, und die Vernachlässigung der [[Qualitätssicherung]] beispielsweise aus Kostengründen.<br />
<br />
=== Ebene 4 – Logik ===<br />
Diese Ebene betrifft sowohl die Logik der Abläufe innerhalb einer Webanwendung, als auch die [[Interaktion]] mit dem Benutzer. Ist diese zu 'zweckorientiert' implementiert, kann gegebenenfalls eine Missbrauchsmöglichkeit vorliegen. Wird etwa zur Verhinderung einer mehrfach wiederholten Eingabe eines Passwortes nach dem fünften fehlerhaften Loginversuch die entsprechende Benutzerkennung gesperrt, so könnte dieser Benutzer durch Dritte gezielt ausgesperrt werden, sofern keine weiteren Maßnahmen getroffen werden. Diese missbräuchliche Vorgehensweise wird weiter erleichtert, wenn die [[Passwort|Benutzerkennung]] einfach zu erraten ist.<br />
<br />
=== Ebene 5 – Semantik ===<br />
Die semantische Ebene umfasst inhalts- und kommunikationsbezogene Aspekte. Sie stellt den [[Identitätsprinzip (Webanwendungen)|Vertrauenskontext]] für die Interaktion mit einem Benutzer her. Wird in diesem Bereich nicht ein hohes Maß an Sorgfalt aufgewendet, so kann eine Webanwendung von Dritten missbraucht werden, um einen Benutzer zu täuschen. Dieser Bereich kann selten auf eine einzelne Anwendung beschränkt bleiben. Vielmehr ist eine website- oder unternehmensübergreifende Betrachtung notwendig. Missbrauchsmöglichkeiten, die sich Fehler auf der semantischen Ebene zunutze machen, sind [[Social Engineering (Sicherheit)|Social Engineering]], [[Phishing]], [[Identitätsdiebstahl]] etc.<br />
<br />
== Siehe auch ==<br />
* [[Informationssicherheit]]<br />
* [[Identitätsprinzip (Webanwendungen)]]<br />
<br />
== Literatur ==<br />
* ''Hacking Exposed: Web Applications: Web Application Security Secrets and Solutions'' von Joel Scambray, Vincent Liu und Caleb Sima beim Verlag Mcgraw-Hill Professional; 3. Auflage. (1. November 2010); ISBN 978-0071740647<br />
<br />
== Einzelnachweise ==<br />
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/WebSec/WebSec.pdf?__blob=publicationFile&v=1 Bundesamt für Sicherheit in der Informationstechnik (BSI): Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen] (PDF; 884 kB)<br />
<br />
[[Kategorie:Informatik]]<br />
[[Kategorie:IT-Sicherheit]]</div>imported>Invisigoth67