Sensitive Data Exposure

Was ist Sensitive Data Exposure?

Sensitive Data Exposure bezeichnet eine Sicherheitsschwachstelle von Software. Sie tritt auf, wenn eine Anwendung vertrauliche Informationen nicht angemessen schützt. Bei den Daten kann es sich z. B. um Passwörter, Kreditkartendaten oder private Gesundheitsdaten handeln.

Sensitive Data Exposure findet regelmäßig Eingang in die OWASP Top 10. Die OWASP (Open Web Application Security Project) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Software und Internet zu verbessern. Sie gibt jährlich eine Liste der am häufigsten festgestellten Sicherheitsprobleme von aktueller Software heraus.

Entstehung

Kryptografie gehört zu den schwierigeren Aufgaben bei der Entwicklung von Software. Fehler, die hierbei gemacht werden, können zu einem unzureichenden Schutz sensibler Daten führen. Bei der Entwicklung einer Anwendung wird dieser Schutz bisweilen nachrangig behandelt. Eine funktionsfähige Anwendung hat oberste Priorität und sobald die Anwendung funktioniert, kommt es gelegentlich nicht mehr zum geplanten Schutz. Sensible Data Exposure ist daher eine typische Schwachstelle, besonders für kleine Unternehmen und Hobbyprojekte.

Beispiele für typische Fälle

Klassische Beispiele für Sensitive Data Exposure sind in Klartext gespeicherte Daten, wie Passwörter oder Kreditkartendaten, fehlendes HTTPS auf authentifizierten Webseiten, und Hash-Passwörter, die ohne zugefügtes “Salz” erstellt wurden. Salz bezeichnet eine zufällige Zeichenfolge, die den Klardaten vor der Verschlüsselung hinzugefügt werden. Dadurch kann anhand identischer Hashwerte nicht darauf geschlossen werden, dass es sich um dieselben Daten handelt.

Mögliche Auswirkungen

Wenn Kreditkartendaten gestohlen werden, kann der Angreifer mit diesen Daten Geschäfte tätigen. Wenn Kennwörter verfügbar gemacht werden, kann der Angreifer diese Anmeldeinformationen missbrauchen. Wenn Zertifikate von Websites gestohlen werden, kann der Angreifer vorgeben, vertrauenswürdiger Inhaber dieser Site zu sein. Er kann dann sensible Daten von Nutzern abfragen, die im Glauben der Rechtmäßigkeit übermittelt werden.

Vermeidung

Sensitive Data Exposure kann nicht so leicht wie andere traditionelle Sicherheitsanfälligkeiten automatisiert aufgespürt werden. Um Risiken zu bestimmen, muss entschieden werden, welche Informationen als vertraulich eingestuft werden. Ein externer Penetrationstest einer Software kann evtl. nicht erkennen, ob Daten in der Anwendung intern verschlüsselt wurden.

Der erste Schritt gegen Sensitive Data Exposure besteht darin, herauszufinden, welche Daten als sensibel einzustufen und daher zu schützen sind. Dann ist sicherzustellen, dass

  • die Daten niemals in Klartext gespeichert werden
  • die Daten niemals im Klartext übertragen werden, z. B. zwischen Datenbank und Server oder über das Internet
  • die zur Verschlüsselung der Daten verwendeten Algorithmen als stark genug gelten
  • die Generierung der Schlüssel sicher ist
  • die Daten nicht im Browser-Cache-Speicher aufbewahrt werden, wenn sie dem Endbenutzer angezeigt werden.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte