Ablehnung einer Meldung durch Nutzung von Sonderzeichen

Wir nutzen das OWASP-RuleSet (https://coreruleset.org/ und https://github.com/coreruleset/coreruleset.git). Es kann somit vorkommen, dass Meldungen aus Sicherheitsgründen abgelehnt werden, wenn Sonderzeichen verwendet werden. Dabei spielen die im Implementierungsleitfaden festgelegten Validierungsregeln keine Rolle, da dieser Prozess bereits vorher automatisiert stattfindet und die gesamte Meldung abtastet. Dabei werden auch Kommentare bzw. Freitextfelder ("Textuelle Hinweise") überprüft.

Sonderzeichen, die ein höheres Risiko haben, geblockt zu werden (als Teil bestimmter Kombinationen):

  • ` (Accent aigu)
  • ' (Apostroph)
  • \ (Backslash)
  • $ (Dollarzeichen)
  • & (Und-zeichen)
  • { (offene geschwungene Klammern)

Im Rahmen der OWASP-RuleSets werden Kombinationen oder Häufungen vermeintlich normaler Sonderzeichen geblockt werden, etwa zwei Bindestriche hintereinander (- -) oder ` als Apostroph anstatt è oder à. Einzelne zeichen werden nie geblockt.

Jedoch können zwei oder drei Zeichen am Anfang als Unix Kommandos interpretiert werden. Eine Liste, welche Zeichen das betrifft, finden Sie hier: https://github.com/coreruleset/coreruleset/blob/main/regex-assembly/include/unix-shell-upto3.ra

Tipps zur Problemvermeidung

Versuchen Sie, die Benutzung von Sonderzeichen in Ihren Meldungen weitestgehend zu reduzieren. Außerdem sollten Sie Sonderzeichen gemäß der deutschen Rechtschreibung nutzen, auch bei automatisierten Prozessen. So vermeiden sie automatisch auffällige Kombinationen von Sonderzeichen:

  • Es ist beispielsweise nicht notwendig bei einer Telefonnummer "- -" oder "" zu verwenden, auch wenn es manchmal technisch bedingt sein mag. Üblich ist jeweils ein einzelnes dieser Zeichen, wenn überhaupt.
  • Wenn ein Personenname apostrophiert werden muss, nutzen Sie dafür das Apostroph-Zeichen ('), welches i.d.R. auf der selben Taste wie die Raute ist.
  • Achten Sie darauf, dass Accents korrekt über den Vokalen gesetzt werden und nicht als Zeichen davor oder danach.

Ändern eines Einrichtungsnamens

Wurden in einem Einrichtungsnamen Abkürzungen verwendet, z.B. "SH MVZ GmbH", so können diese dem Inhalt entsprechend angepasst werden, damit die Meldung nicht abgelehnt wird. SH steht hier für Schleswig Holstein, mögliche Änderungen könnten also sein "MVZ GmbH SH" oder "Schleswig-Holstein MVZ GmbH". Auch "MVZ Nord GmbH" scheint dem verwendeten Einrichtungsnamen zu entsprechen.