OWASP Statement on the Security of the Internet 2014/de

=OWASP-Stellungsnahme zur Sicherheit im Internet=

Die OWASP (Open Web Application Security Project, www.owasp.org) Organisation macht sich weiterführende Gedanken zum Vertrauensverhältnis zwischen Menschen und häufig genutzte oder bereitgestellte Anwendungen im Internet. Die letzten Erkenntnisse bezüglich den Spionage- und Überwachungsaktivitäten und die Versuche kryptographischer Algorithmen zu umgehen, macht der OWASP große Sorgen. Obschon OWASP von der Möglichkeit zur Überwachung einzelner Organisationen oder Personen wusste, so ist die Dimension solcher Aktivitäten alarmierend.

Natürlich kann man aufgrund der offengelegten Berichte nicht abschließend beurteilen, welche der Angriffstechniken und Überwachungsmethoden konkret eingesetzt werden und welche geheimen Abmachungen und Verträge vorliegen. Deshalb kann die OWASP keine abschließende Beurteilung der Sachlage abgeben. OWASP möchte zum Ausdruck bringen, dass wir offen über diese Themen sprechen und unsere Aufgabe darin sehen, Application Security für Personen und Organisationen sichtbar zu machen, damit entsprechend fundierte Entscheidungen bezüglich Anwendungs-Risiken möglich sind.


 * Wir sind davon überzeugt, vertrauenswürdige Software und Anwendungen sind wichtige Eckpfeiler für unserer Gesellschaft und der Zusammenarbeit zwischen den Menschen.
 * Wir sind davon überzeugt, dass Menschen, Firmen wie auch Regierungen die Software so sicher wie möglich erstellen sollten und zudem auf die absichtliche Schwächung von Software, Security-Standards oder kryptographischen Verfahren verzichtet sollten.
 * Wir sind davon überzeugt, dass Menschen, Firmen wie auch Regierungen nicht absichtlich Hintertüren oder Schwachstellen (geheime Backdoors) in Software einbauen sollten, welche das Vertrauen und Integrität derselben bricht, zerstört oder gefährdet.

Wir möchten zudem darauf aufmerksam machen, dass das absichtliche Hinterlegen von Schwachstellen oder Hintertüren durch Menschen, Regierungen und Firmen zum Zwecke der Überwachung unsere Freiheit gefährdet, wie auch den Verlust in das Vertrauen zwischen den Menschen führt. Früher oder später werden diese Hintertüren, auch durch bösartige Angreifer, identifiziert und für die Erreichung deren Ziele eingesetzt. Ein Großteil der Bevölkerung und Firmen steht diesen Angriffen dann ungeschützt gegenüber, weil diese die Sicherheit von Software, die wir täglich brauchen, untergraben und diese dadurch potenziell weltweit katastrophale Auswirkung haben kann.

Die OWASP-Gemeinschaft hat sich zum Ziel gesetzt, dabei zu helfen sichere Systeme zu erstellen und diese für alle Internetnutzer benutzbar zu machen. Die Diskussion zur Sicherheit und Schwachstellen ist seit mehr als einem Jahrzehnt eine der Stärken von OWASP, wobei die Technologie nur ein Punkt ist. Es zählen ebenso Weiterbildung, Hilfen zum Betrieb, Gesetze und ähnliche Punkte. Wir sehen die aktuellen Nachrichten und Entwicklungen als Herausforderung, die uns inspiriert zu unseren Prinzipien zu stehen und noch härter daran zu arbeiten, das Internet und die Anwendungen sicherer zu machen. Eoin Keary, OWASP Vorstandsmitglied (Board Member), bringt es so auf den Punkt: “OWASP cannot stand by and let the erosion of security occur; it is against our mission.” Wir sind sicher, Dass OWASP dazu seinen Teil leisten kann und wir glauben, dass die Sicherheitsempfehlungen und Tools von OWASP ebenfalls dazu beihelfen, wenn sie mehr verwendet werden.

Wir sollten die Möglichkeit nutzen, um Vorwärts zu schauen und unsere Lehren zu ziehen, was die OWASP in Zukunft besser machen kann, auch über die Geschehnisse der letzten Ereignisse hinaus. Die Sicherheit und Privatsphäre des Internet ist eine große Herausforderung, gerade auch wegen der letzten Enthüllungen. Die Schlussfolgerungen, die wir heute ziehen, sind zudem auch wertvoll für die Entwicklung der nächsten Jahre. Im Statement von Tobias Gondom, seines Zeichens OWASP Vorstandsmitglied, formulierte er seine Hoffnung darin, dass die Welt zunehmend  mehr bzgl. Sicherheit sensibilisiert wird und man in Zukunft neue Software eher mit dem "secure by default" anstatt "insecure by default" Prinzip antreffen wird.

Die öffentliche Meinung und die Motivation der OWASP Mitglieder ist uns sehr wichtig. Es gibt viel zu tun; für Benutzer welche zusätzliche Security-Funktionen wünschen, für Security-Experten, Firmen und Regierungen die sicherstellen, dass die Benutzer, Produkte, Services und Anwendungen entsprechend sicher sind. OWASP ist eine offene Community und wir laden alle interessierten Personen zur Zusammenarbeit ein, gemeinsam den Weg für die Verbesserung der Sicherheit zu gehen und bei Analysen, Entwicklung von Security-Ideen mitzuhelfen.