Vorgehensweise bei Zertifizierung

Vorgehensweise mehrstufiges Security-Source-Code Audit

Die Zertifizierung einer Webanwendung erfolgt nach erfolgreicher Durchführung eines mehrstufigen, vollständigen Security-Source-Code Audit.

Um Webservices gemäß ÖNORM A 7700 zu zertifizieren, wird ein mehrstufiges Sourcecode-Review angewendet. Nachdem die Entscheidung für eine solche Zertifizierung gefallen ist, führt der erste Weg zum Österreichischen Normungsinstitut (www.on-norm.at), das einen akkreditierten Auditor vermittelt, der die Evaluierung durchführt.

Zuerst wird hierzu der gesamte Sourcecode auf Schwachstellen untersucht. Erkannte beziehungsweise vermutete Mängel werden in einer Teststellung verifiziert. Handelt es sich um ausnutzbare Schwachstellen, werden diese vermerkt und gesammelt am Ende des Audits an das Entwicklerteam kommuniziert. Dieser erste Schritt wird als Hauptaudit bezeichnet und stellt den größten Block des Zertifizierungsprozesses dar (vgl. Abb.).

Das Entwicklerteam hat dann die Möglichkeit, die gefundenen Schwachstellen zu beheben. Abhängig vom Aufbau des Services kann dies durch die Änderung weniger Zeilen Code geschehen oder einen grundlegenden Umbau erfordern. Es wird daher empfohlen, schon in der Designphase ein Security Framework vorzusehen, um sicherheitsrelevante Änderungen zentral an einer Stelle durchführen zu können (z. B. Erweiterung eines Inputfilters).

Um die korrekte Umsetzung der Änderungen zu verifizieren, werden alle geänderten Dateien einem zweiten Audit unterzogen. Die Änderungen werden auch auf die Teststellung übertragen, um dem Auditor die Möglichkeit zu geben, die theoretischen Angriffsvektoren in der Praxis zu überprüfen. Sollten Mängel in der Umsetzung vorliegen, unterrichtet der Auditor erneut die Entwickler, damit diese letzte Probleme im Sourcecode beheben können.

Bisherige Zertifizierungsprojekte haben gezeigt, dass im anschließenden Nachaudit nur noch selten verbliebene Schwachstellen zu finden waren - die Applikation konnte dann meist als sicher bewertet werden. Sobald dieser Status erreicht und vom Auditor beglaubigt ist, stellt das Österreichische Normungsinstitut (ON) das Zertifikat aus. Um die zertifizierte Version eindeutig bestimmen zu können, werden beim ON Checksummen aller zertifizierten Dateien hinterlegt.