Moin!

Mir ist nicht ganz klar, welchen Sachverhalt du deinem Kunden erklären willst.

Er soll sensibilisiert werden, welche Risiken er eingeht, wenn er die Bequemlichkeit des WEB nutzt. Vergleichbar mit den Hinweisen zur Banking-Card:

Schreibe deine PIN nicht drauf / decke die Tastatur ab, wenn du es eingibst / achte auf vorgebaute Leser / ...

Du willst ihm Sicherheitsrichtlinien erstellen?

Wenn du für die Programmierung der Site verantwortlich oder mitverantwortlich bist und Sicherheitlücken erkannt _hast_, ist es grob fahrlässig, diese nicht weiterzumelden oder zu beseitigen.

Genau, deshalb dieses Posting. Aber ich bin keine Sicherheitsabteilung, ich krieg's aus Kapazitäts- und Wissenslücken (Hacker-Wissen) nie wasserdicht.

Oder ihm Sicherheitslücken stopfen?

Was die Wasserdichtheit angeht:
Sicherheits_lücken_ sind die Fälle, in denen man ein Programm entgehen der Spezifikation ausnutzt, um unberechtigten Zugriff zu erlangen.

Wenn jemand ein Programm _gemäß_ der Spezifikation benutzt, um Zugriff zu erlangen, dann ist das keine Sicherheits_lücke_, sondern ein ganz normales Sicherheits_risiko_.

Es kann keinen allgemein formulierten Hinweis auf Sicherheitslücken geben, weil jede Sicherheitslücke individuell existiert - oder auch nicht.

Sehe ich nicht so. Dann dürftest du auch die Sicherheitslücken im Outlook nicht erwähnen oder die Möglichkeit, Mail- Absender zu fälschen.

Es gibt so dermaßen viele Sicherheitslücken bei allen möglichen Programmen - die kannst du unmöglich alle auflisten. Und nur zusammenfassend zu sagen "Das Web ist unsicher" wird auch nicht ausreichen - sowas erfährt man in jeder Tageszeitung und den Fernsehnachrichten auch.

Mit der Verbreitung der Information "so und so _kann_ eine Lücke sein" machst du dir keine Freunde. Entweder _ist_ es eine Lücke - dann beweist du dies durch eine entsprechende Darlegung, was schlecht ist, oder es ist _keine_ Lücke.

Falsch - digitales Denken (ALLES oder NICHTS) ist hier nicht angebracht, ich denke in Sicherheitsstufen. Da gibt es vielleicht 10 - 20. Die Stufen 1 - 5 lassen sich mit vertretbarem Aufwand erreichen, die Stufen 6 - 15 kosten immer mehr Zeit und Geld, die Stufe 20 schafft nicht mal die NASA.

Doch, digitales Denken ist bei Sicherheits_lücken_ sehr wohl angebracht. Und das Ziel ist klar: Es darf keine geben. Und dieses Ziel kann man sehr wohl erreichen.

Das, was du in Stufen deklarieren willst, ist der allgemeine Sicherheitslevel, den man hoch und unbequem, oder niedrig und bequem haben kann.

Für eine Webanwendung, auf die nur ein eingegrenzter Personenkreis Zugriff haben darf, bedeutet das: SSL-Verschlüsselung ist obligatorisch, und die Passworte sind ausreichend lang und sicher.

Mehr Sicherheit gegen spezifikationsgemäße Angriffe würde es geben, wenn man Fehlversuche des Logins zählen und den Account dann sperren würde.

Noch sicherer wäre, wenn man ein Challenge-Response-Verfahren einsetzt, und die berechtigte Person einen kleinen Coderechner mit sich rumträgt.

Unsicherer ist es, wenn man auf gute, lange Passworte verzichtet, oder auf SSL.

Innerhalb dieser Möglichkeiten kann der Kunde seinen Sicherheitslevel wählen, sofern er über die damit verbundenen Risiken aufgeklärt wurde.

Aber es ist in jedem Fall selbstverständlich, dass man keine Sicherheitslücken einbaut, und erkannte Lücken sofort ausbaut. In diesem Punkt darf es nur digitales Denken geben. Wer eine erkannte Sicherheitslücke akzeptiert, gefährdet sein (Kunden-) System grob fahrlässig.

- Sven Rautenberg