Sensitive Data Exposure

sensitive data exposure

Copyright ┬ę Shutterstock / ImageFlow

Was ist Sensitive Data Exposure?

Sensitive Data Exposure bezeichnet eine Sicherheitsschwachstelle von Software. Sie tritt auf, wenn eine Anwendung vertrauliche Informationen nicht angemessen sch├╝tzt. Bei den Daten kann es sich z.┬áB. um Passw├Ârter, Kreditkartendaten oder private Gesundheitsdaten handeln.

Sensitive Data Exposure findet regelm├Ą├čig Eingang in die OWASP Top 10. Die OWASP (Open Web Application Security Project) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Software und Internet zu verbessern. Sie gibt j├Ąhrlich eine Liste der am h├Ąufigsten festgestellten Sicherheitsprobleme von aktueller Software heraus.

Entstehung

Kryptografie geh├Ârt zu den schwierigeren Aufgaben bei der Entwicklung von Software. Fehler, die hierbei gemacht werden, k├Ânnen zu einem unzureichenden Schutz sensibler Daten f├╝hren. Bei der Entwicklung einer Anwendung wird dieser Schutz bisweilen nachrangig behandelt. Eine funktionsf├Ąhige Anwendung hat oberste Priorit├Ąt und sobald die Anwendung funktioniert, kommt es gelegentlich nicht mehr zum geplanten Schutz. Sensible Data Exposure ist daher eine typische Schwachstelle, besonders f├╝r kleine Unternehmen und Hobbyprojekte.

Beispiele f├╝r typische F├Ąlle

Klassische Beispiele f├╝r Sensitive Data Exposure sind in Klartext gespeicherte Daten, wie Passw├Ârter oder Kreditkartendaten, fehlendes HTTPS auf authentifizierten Webseiten, und Hash-Passw├Ârter, die ohne zugef├╝gtes “Salz” erstellt wurden. Salz bezeichnet eine zuf├Ąllige Zeichenfolge, die den Klardaten vor der Verschl├╝sselung hinzugef├╝gt werden. Dadurch kann anhand identischer Hashwerte nicht darauf geschlossen werden, dass es sich um dieselben Daten handelt.

M├Âgliche Auswirkungen

Wenn Kreditkartendaten gestohlen werden, kann der Angreifer mit diesen Daten Gesch├Ąfte t├Ątigen. Wenn Kennw├Ârter verf├╝gbar gemacht werden, kann der Angreifer diese Anmeldeinformationen missbrauchen. Wenn Zertifikate von Websites gestohlen werden, kann der Angreifer vorgeben, vertrauensw├╝rdiger Inhaber dieser Site zu sein. Er kann dann sensible Daten von Nutzern abfragen, die im Glauben der Rechtm├Ą├čigkeit ├╝bermittelt werden.

Vermeidung

Sensitive Data Exposure kann nicht so leicht wie andere traditionelle Sicherheitsanf├Ąlligkeiten automatisiert aufgesp├╝rt werden. Um Risiken zu bestimmen, muss entschieden werden, welche Informationen als vertraulich eingestuft werden. Ein externer Penetrationstest einer Software kann evtl. nicht erkennen, ob Daten in der Anwendung intern verschl├╝sselt wurden.

Der erste Schritt gegen Sensitive Data Exposure besteht darin, herauszufinden, welche Daten als sensibel einzustufen und daher zu sch├╝tzen sind. Dann ist sicherzustellen, dass

  • die Daten niemals in Klartext gespeichert werden
  • die Daten niemals im Klartext ├╝bertragen werden, z.┬áB. zwischen Datenbank und Server oder ├╝ber das Internet
  • die zur Verschl├╝sselung der Daten verwendeten Algorithmen als stark genug gelten
  • die Generierung der Schl├╝ssel sicher ist
  • die Daten nicht im Browser-Cache-Speicher aufbewahrt werden, wenn sie dem Endbenutzer angezeigt werden.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte