ÖNORM A 7700 - Version 2019 mit neuem Scope

news SSDLC

Als Vorsitzender der Arbeitsgruppe AG001.77 von Austrian Standards durfte Thomas Kerbl den Normierungsprozess vom Start bis zur Ziellinie über die letzten beiden Jahre hinweg begleiten. Mehr als ein Dutzend Sicherheitsexperten waren in der Gruppe aktiv und brachten ihr spezifisches Wissen in die jeweiligen Bereiche ein.

Codierung der ÖNORM A 7700 - SEC Consult

Die Vorgängerversion der ÖNORM A 7700 wurde im Dezember 2008 veröffentlicht und ist, angesichts der Schnelllebigkeit in der IT, schon etwas in die Jahre gekommen. Wir haben uns im Rahmen der notwendigen inhaltlichen Aktualisierung des Standards auch dazu entschlossen, den Scope des Standards zu erweitern. Die Vorgängerversion konzentrierte sich ausschließlich auf technische Sicherheitsaspekte von Webanwendungen und klammerte die zugrunde liegenden Anforderungen für den sicheren Betrieb aus. Auch datenschutzrechtliche Aspekte wurden bisher außer Acht gelassen.

Diese Bereiche wurden in die neue Version mit dem Namen „ÖNORM A 7700:2019“ nun mit aufgenommen. Dies machte es erforderlich, die bisher alleinstehende NORM zu einer Normenreihe zu erweitern.

Die ÖNORM A 7700 wurde in vier Teile gegliedert, um die einzelnen Themenbereiche klar voneinander zu trennen. Während die ÖNORM A 7700-1 die zugrundeliegende Terminologie darlegt, beschreiben ÖNORM A 7700-2 bis ÖNORM A 7700-4 die fachlichen Anforderungen:

  • ÖNORM A 7700-1: Webapplikationen – Begriffe
  • ÖNORM A 7700-2: Webapplikationen – Anforderungen durch Datenschutz
  • ÖNORM A 7700-3: Webapplikationen – Sicherheitstechnische Anforderungen
  • ÖNORM A 7700-4: Webapplikationen – Anforderungen an den sicheren Betrieb

Die Ausrichtung und Zielsetzung der Norm ist durch Austrian Standards klar vorgegeben. Als Anforderungsdokument, das den aktuellen Stand der Technik definiert, muss die ÖNORM A 7700 vorschreiben, was zu tun ist, nicht wie es zu tun ist. Daher findet man in dieser Normenreihe keine technologiespezifische Anleitung, sondern allgemein formulierte Anforderungen, ohne Einschränkung hinsichtlich der Implementierung. Wer also ein technologieagnostisches Anforderungsdokument sucht, wird hier fündig!

1      Datenschutzanforderungen für Webanwendungen

Bereits ein Jahr nach der Veröffentlichung der DSGVO bestand der Bedarf nach konkreten Umsetzungsrichtlinien. In Bezug auf den Datenschutz für Webanwendungen haben wir es uns zur Aufgabe gemacht, solche Grundregeln zu definieren.

Das Ergebnis ist ÖNORM A 7700-2. Unser Ziel war es, die Anforderungen an den Datenschutz zu definieren, ohne dabei unnötig redundant zur DSGVO zu sein. Wir gehen in der Norm auf die spezifischen Bedürfnisse von Entwicklern ein, die bei der Implementierung von Webanwendungen die Datenschutzanforderungen berücksichtigen müssen, und stellen dabei auch die relevanten Querverweise zur DSGVO her.

Wenn es im Jahr 2019 etwas gibt, von dem wir definitiv mehr brauchen – dann sind das Datenschutzanforderungen!, said no-one ever …

Während sich der Standard aus offensichtlichen Gründen auf Webanwendungen konzentriert, die personenbezogene Daten sammeln, beinhaltet er auch Vorgaben für Webanwendungen, die dies nicht tun. Insbesondere die Identifizierung und Verfolgung von Nutzern wird adressiert, auch wenn dabei keine personenbezogenen Daten explizit erhoben werden.

Neben den normativen Anforderungen bietet die ÖNORM A 7700-2 auch informative Anleitungen anhand ausgewählter Beispiele (z. B. Bereitstellung eines Newsletters). Es ist zu beachten, dass der Datenschutz in hohem Maße von der Resilienz der Anwendung und der zugrunde liegenden Infrastruktur gegen Angriffe abhängt. In der ÖNORM A 7700-2 wird daher ausdrücklich darauf hingewiesen, dass die Einhaltung des Datenschutzes auch die Einhaltung der ÖNORM A 7700-3 und der ÖNORM A 7700-4 erfordert.

2      Aktualisierung und Erweiterung der technischen Sicherheitsanforderungen an Webanwendungen

Diejenigen, die bereits mit der ÖNORM A 7700:2008 vertraut sind, werden die neue ÖNORM A 7700-3:2019 als Aktualisierung und Erweiterung dieser erkennen. Während keines der etablierten Themen gestrichen wurde, wurden im gesamten Dokument neue wichtige Aspekte eingeführt.

Ein Angriffsvektor, der zuvor nicht explizit behandelt wurde, ist Session-Riding. Dies war in der Vergangenheit problematisch, da Cross-Site-Request-Forgery (CSRF) – eine Spielart von Session Riding – ein weit verbreitetes Problem in Webanwendungen darstellt. Die neue Version des Standards schließt diese Lücke.

Weitere Verbesserungen sind die Einführung von Schutz gegen Click-Jacking, der Schutz vor unsicherer Serialisierung und Deserialisierung sowie spezielle Anforderungen für die Protokollierung von Sicherheitsereignissen.

Wer die ÖNORM A 7700 als Anforderungsdokument für Ausschreibungen verwenden, wird sich über die neuen Vorgaben in Bezug auf Dokumentation freuen – ein Bereich, der von Anbietern häufig vernachlässigt wird.

3      Anforderungen für den sicheren Betrieb von Webanwendungen

Bisher war der Einsatzbereich der ÖNORM A 7700 auf die Webanwendung selbst beschränkt. Mit der Einführung der ÖNORM A 7700-4:2019 wurde der Anwendungsbereich auch um den sicheren Betrieb von Webanwendungen erweitert.

Im Zuge des Normierungsprozesses war es besonders herausfordernd festzulegen, welche Aspekte in die ÖNORM aufgenommen werden sollen und welche Aspekte besser von anderen Normen und Richtlinien behandelt werden. Anforderungen aus Managementstandards wie der ISO/IEC 27002:2013 einfach zu übernehmen wäre keinesfalls sinnvoll gewesen. Aus diesem Grund wurde ein etabliertes Sicherheitsmanagementsystem als Basisanforderung für die Erfüllung der ÖNORM A 7700-4 definiert. Alle anderen Anforderungen, wie zum Beispiel die folgenden, bauen darauf auf:

  • Durchsetzung des Minimalprinzips
  • Auswahl und Pflege von Programmiersprachen, Frameworks und anderen Komponenten
  • Sichere Konfiguration und Systemhärtung
  • Sichere Administration
  • Schutz der Daten bei der Übertragung und Speicherung (Data-in-Transit und Data-at-Rest)
  • Konfiguration der HTTP-Security-Header
  • Protokollierung

 

Wie bereits erwähnt, handelt es sich um allgemeine Anforderungen, die definieren, was zu tun ist, und nicht, wie es zu tun ist. In einer ÖNORM finden sich keine technologiespezifische Anleitung. Wird jedoch eine umfassende Liste allgemeiner Anforderungen als Ausgangspunkt für den Requirements-Engineering-Prozess oder als verbindliche Spezifikation für Lieferanten benötigt, ist die ÖNORM A 7700-4:2019 genau das richtige Dokument. Um dem Dokument noch mehr Praxisnähe zu verleihen, haben wir auf spezifischere Richtlinien wie CIS-Benchmarks und technische Richtlinien von NIST und dem BSI verwiesen.

4      Keine Zertifizierung mehr durch Austrian Standards

Eine wichtige Änderung betrifft die Zertifizierbarkeit der neuen ÖNORM A 7700:2019. Austrian Standards hat beschlossen, keine Zertifizierungen mehr für die neue Version anzubieten. Da die alte Version der Norm durch die neue Version gänzlich ersetzt wird, bedeutet dies, dass es nicht mehr möglich sein wird, ein neues Zertifikat nach ÖNORM A 7700 von Austrian Standards zu erhalten. Wenn Sie stolzer Besitzer eines gültigen ÖNORM A 7700-Zertifikats von Austrian Standards sind, passen sie gut darauf auf – es könnte zu einer Rarität mit Sammlerwert werden

 

Über den Autor

[Translate to German:] Thomas Kerbl
Thomas Kerbl
SEC Consult Group
Principal Security Consultant

Thomas Kerbl ist bereits seit über 15 Jahren für SEC Consult als Security Consultant tätig. In seiner Rolle als Principal Security Consultant und Teamleiter führt er nicht nur ein Team von Experten, sondern setzt auch nach wie vor Kundenprojekt selbst um. Seit einigen Jahren liegt sein Fokus auf den Themen „Sichere Softwareentwicklung“ und „Security Architektur“, in denen er seine Expertise als ehemaliger Penetration Tester und Security Requirements Engineer einfließen lassen kann.