UDM Sicherheitsstandards

01

Referenzrahmen der Bewertung

Die im Folgenden aufgeführten Sicherheitsmaßnahmen wurden gegen die nachstehenden Industriestandards und BSI-Vorgaben abgeglichen.

OWASP Top 10

Edition 2025 · Webanwendungen

Die zehn wichtigsten Sicherheitsrisiken für Webanwendungen, veröffentlicht vom Open Worldwide Application Security Project.

OWASP API Security Top 10

Edition 2023 · Schnittstellen / APIs

Die zehn wichtigsten Sicherheitsrisiken speziell für API-basierte Anwendungen und Services.

BSI IT-Grundschutz APP.3.1

Edition 2023 · Webanwendungen & Webservices

Baustein des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik mit Anforderungen an sichere Webanwendungen.

BSI TR-02102-2

Version 2026-01 · TLS-Verschlüsselung

Technische Richtlinie des BSI zur kryptographischen Absicherung von Transport Layer Security (TLS).

02

Gesamtbild

Verteilung der 32 geprüften Einzelanforderungen nach Umsetzungsstand. Die Abdeckung der vollständig umgesetzten Anforderungen liegt aktuell bei rund 63 Prozent.

20

Umgesetzt

4

Version 2

5

In Umsetzung

3

Geplant

Umgesetzt Ausbau zu Version 2 In Umsetzung Geplant / in Vorbereitung

03

Kernthemen im Überblick

Zuordnung der wichtigsten Sicherheitsanforderungen zu Referenzrahmen und aktuellem UDM-Status.

Thema	Referenz	Status
Zentrale Authentifizierung	BSI APP.3.1.A1	✓
Multi-Faktor-Authentifizierung	BSI CON.10.A16 · OWASP A07:2025	✓
Starkes Passwort-Hashing	OWASP A04:2025 · BSI APP.3.1.A14	✓
Sichere Session-Verwaltung	BSI CON.10.A3	✓
Schutz vor Injection-Angriffen	OWASP A05:2025 · BSI CON.10.A9	✓
Schutz vor Cross-Site-Scripting	OWASP A05:2025	✓
Cross-Site-Request-Forgery-Schutz	BSI APP.3.1.A21	✓
Sichere HTTP-Header (CSP, Clickjacking)	OWASP A02:2025 · BSI APP.3.1.A21	✓
Transport-Verschlüsselung TLS 1.2 / 1.3	BSI TR-02102-2	✓
HSTS mit langer Max-Age	BSI TR-02102-2	✓
Sichere Cookie-Attribute	BSI APP.3.1.A21	✓
Audit- und Aktivitäts-Logging	OWASP A09:2025	✓
Kontrollierte Fehlerausgabe	OWASP A10:2025	✓
Rate Limiting	OWASP API4:2023	○
Cipher-Suite-Pinning (BSI-konform)	BSI TR-02102-2	○
Datei-Upload-Kontrolle	BSI APP.3.1.A4	○
Brute-Force-Schutz (Account-Lockout)	BSI APP.3.1.A1 · OWASP A07:2025	▶
Secrets-Management	OWASP A04:2025	✕
Verschlüsselte Datenbank-Verbindungen	BSI TR-02102-2	▶
Penetrationstest	BSI APP.3.1.A22	✕

04

Umgesetzte Sicherheitsmaßnahmen

Maßnahmen, die produktiv in der Plattform aktiv sind.

Authentifizierung & Zugriff

🔑

Multi-Faktor-Authentifizierung

TOTP per Authenticator-App plus Recovery Codes, durch Administratoren erzwingbar.

🏢

Single Sign-On via Entra ID

OIDC-Anbindung an Microsoft Entra ID, pro Benutzer zuschaltbar.

🔒

Starkes Passwort-Hashing

PBKDF2-SHA512 mit 600.000 Iterationen, entsprechend aktueller OWASP-Empfehlung.

🕐

Session-Management

Serverseitig, 24h Lifetime, IP- und User-Agent-Tracking, automatische Bereinigung.

Transport-Schicht

🔒

TLS 1.2 / 1.3 erzwungen

Explizite Konfiguration in allen Diensten, keine Legacy-Protokolle.

🛡

HSTS mit Preload

365 Tage Max-Age inklusive Subdomains — erzwingt HTTPS im Browser.

🍪

Sichere Cookies

Secure- und HttpOnly-Flag immer gesetzt, OIDC-Flow korrekt konfiguriert.

↻

HTTPS-Redirect

Alle HTTP-Anfragen werden zentral auf HTTPS umgeleitet.

Schutz vor gängigen Angriffen

🛡

SQL-Injection-Schutz

Durchgängig parametrisierte Datenbankzugriffe über ein etabliertes ORM-Framework.

👁

XSS-Schutz

HTML-Sanitizer und konsequentes Output-Encoding in allen Oberflächen.

🚫

CSRF-Schutz

Antiforgery-Middleware auf allen State-ändernden Requests.

📡

Security Headers

CSP, X-Frame-Options, X-Content-Type-Options, Referrer- und Permissions-Policy.

🔍

Clickjacking-Schutz

frame-ancestors 'none' in CSP verhindert Einbettung in fremde Seiten.

⛔

Permissions-Policy

Kamera, Mikrofon, Geolocation und Payment serverseitig deaktiviert.

Betrieb & Nachvollziehbarkeit

📄

Strukturiertes Logging

Zentrales Log-Management mit automatischer Maskierung sensibler Header.

📈

Activity-Tracking

Benutzerbezogene Aktivitätshistorie für Audit-Zwecke.

⚠

Zentrales Error-Handling

Keine Offenlegung interner Systemdetails in Fehlermeldungen.

📚

DTO-Pattern

Interne Datenbank-Entitäten werden nie direkt über die API exponiert.

05

Ausbau zu Version 2

Diese Sicherheitsmaßnahmen sind produktiv aktiv. Aktuell erweitern wir sie zur nächsten Ausbaustufe.

⏱

Rate Limiting

Parallele Anfragen pro Sitzung begrenzt. Limits pro Endpunkt und Zeitfenster folgen.

🔑

Cipher-Suite-Pinning

TLS-Version ist fest; Bindung an BSI-konforme Cipher Suites ist vorgesehen.

📎

Datei-Upload-Kontrolle

Größenlimit, Hashing und MIME-Erfassung aktiv. Positivliste erlaubter Dateitypen folgt.

📢

Security-Event-Logging

Anmelde-Logs vorhanden. Dedizierte Sicherheits-Events werden strukturiert ergänzt.

06

In Umsetzung

Maßnahmen, deren Umsetzung kurzfristig erfolgt und bereits konkret vorbereitet ist.

🌐

CORS & erlaubte Hosts

Explizite, restriktive Konfiguration statt Wildcard für alle öffentlichen Endpunkte.

💾

Verschlüsselte DB-Verbindungen

Umstellung aller Datenbankverbindungen auf geprüfte Zertifikate.

📋

SBOM & Dependency-Scan

Automatische Software-Stückliste und Sicherheitsprüfung aller Drittbibliotheken in der Pipeline.

🚫

Account-Lockout

Temporäre Sperre nach mehreren fehlgeschlagenen Anmeldungen.

📦

Container-Härtung

Entfernen eingebetteter Zertifikats-Passwörter aus Container-Images.

07

Geplant / in Vorbereitung

Maßnahmen, die auf der Roadmap stehen und als nächste Schritte umgesetzt werden.

🔑

Secrets-Management

Verlagerung aller Anmeldedaten in geschützten Speicher (Key Vault / Docker Secrets).

🔍

Externer Penetrationstest

Regelmäßige Beauftragung durch einen externen Dienstleister.

👤

Threat-Model (STRIDE)

Formale Bedrohungsanalyse als Teil der Plattform-Dokumentation.