Web Application Security ist eine noch sehr junge IT-Disziplin. Eine systematische Darstellung existiert bisher ebenso wenig wie eine methodische Aufbereitung für den praktischen Umgang. Thomas Schreiber und Despina Leonhard von der Securenet GmbH nehmen sich dieser Thematik an.
Web Application Security ist innerhalb einer enthusiastischen Community entstanden, die sich in Mailing-Listen und verschiedenen Open-Source-Projekten zusammengefunden hat. Die Szene ist sehr bewegt, und das Wissen ist auf eine Vielzahl von Veröffentlichungen, zumeist im Internet und in Open-Source-Guides verteilt. Die Alltagsgefahr für Anwender, Dienstleister und Unternehmen, die Web Application Security nicht berücksichtigen, ist wiederum sehr groß.
Bei Web Application Security handelt es sich um die Sicherheit der Webanwendungen selbst. Es geht nicht um die Sicherheit der Plattform oder des Webservers, unter dem die Anwendung läuft, auch wenn deren zuverlässige Funktionsweise eine wichtige Voraussetzung für die Sicherheit der Webanwendung selbst darstellt.
Second Line of Defense unbedingt notwendig
Bei Web Application Security gilt generell der Sicherheitsgrundsatz der "Second Line of Defense". Danach sind Gefährdungen nicht nur durch eine, sondern mehrfache Schutzmaßnahmen abzusichern, um für den Fall, dass die eine Maßnahme umgangen wird oder ausfällt, die Applikation durch eine zweite Sicherungslinie weiterhin geschützt ist.