Den Einstieg in das in sechs Kapitel unterteilte Werk bildet die Klarstellung von Begrifflichkeiten und der Exkurs in die Natur von Webanwendungen samt darauf basierender Unsicherheitsmerkmale. So erläutert der Autor Matthias Rohr neben Schwachstellen auch die Möglichkeiten von Angriffsszenarien. In den Folgekapiteln werden diese Aspekte dann detailliert untersucht. Der Leser wird nach dem gewissenhaft - en Studium des Buchs auch Kenntnisse über relevante Standards wie PCI-DSS, OWASP oder NIST und zahlreiche weitere mitnehmen.

Neben diesen Konzepten schlüsselt Matthias Rohr übergreifende Sicherheitsprinzipien in Hinsicht auf die Webanwendungen auf. Die Inhalte bewegen sich dabei soweit erkenntlich auf den aktuellen Standards. Besonders für Tester, aber auch für Entwickler, ist das umfangreiche Kapitel "Sicherheitsuntersuchungen von Webanwendungen" gedacht. Darin erörtert der Autor mögliche Maßnahmen zur Absicherung in Hinblick auf gängige Bedrohungen. Das Verständnis dieses Abschnitts ist essenziell, um die im Anschluss vorgestellten Bewertungs- und Prüfverfahren richtig einschätzen zu können. Hierbei werden nicht nur die einzelnen Entwicklungsphasen zu Rate gezogen, sondern auch die entsprechenden Zielgruppen innerhalb einer Unternehmung gesondert berücksichtigt: IT-Sicherheitsmanagement, Projektmanagement, Entwicklung. Neben den Maßnahmen zur Qualitätssicherung präsentiert der Autor auch ein formelles Vorgehensmodell inklusive einer Empfehlung für die praktische Durchführung.

Fazit: Der Autor bringt seine nach eigenen Angaben zehnjährigen Erfahrungen in dem Bereich auf den Punkt. Wenngleich dafür knapp 500 Seiten notwendig sind, gelingt es ihm in strukturierter Art und Weise, die Vielzahl an Begriffen, Konzepten und Verfahren nachvollziehbar zu schildern und dabei den Fokus auf den Einsatz im Unternehmen zu behalten. Administratoren werden hier keine Guides für Webserver, Browser und Co. finden, dafür aber alles Wissenswerte, wenn es gilt, eigene Sicherheitsrichtlinien zu entwerfen.