Trojanisches ZUGFeRD
Zwar ist die im Gesetzgebungsverfahren befindliche Pflicht zur E-Rechnung grundsätzlich eine gute Idee und längst überfällig. Aber als Sicherheitsexpertin muss die Kolumnistin auch die kritischen Fragen stellen.
Deutschland digitalisiert weiter: Sogar Rechnungen nun endlich digital! Ich wäre aber nicht ich, hätte ich nicht was daran auszusetzen. Aber fangen wir langsam an: Dass die Rechnungsstellung digitalisiert wird, ist begrüßenswert, um nicht zu sagen überfällig. Darüber hinaus nicht eine bestimmte Software vorzuschreiben, sondern ein standardisiertes XML-Format, ist ebenfalls der richtige Weg.
In dieser Kolumne soll es aber um Security gehen – und jede Person, die schon einmal einen Applikations-Pentest oder Code-Audit eines XML-basierten Datenaustauschformats durchgeführt hat, hat zu Technologien auf Basis dieser Sprache eine recht gefestigte Meinung. Man möge nur die beiden „OWASP Cheat Sheets“ zu XML (siehe ix.de/z6r2) kurz durchscrollen, die auch so schon recht lang sind. Zu XML gibt es viel zu sagen – und noch viel mehr falsch zu machen. Bei Security geht es ja nicht immer nur um Malware, sondern auch um Datenintegrität. Und wenn man bei literarischen Werken gerne sagt, dass die Aussage immer Interpretationssache ist, gilt das – leider – auch durchaus für XML. Programmierbibliotheken zu XML gibt es viele, Einigkeit über den eigentlichen Dateninhalt herrscht nicht immer. Und auch die Bibliotheken werden nicht immer genutzt, es gibt genug „XML-Parser“, die versuchen, das gesamte XML mittels RegEx zu verarbeiten *schauder*.