Web-Applikationen-Schutz ist heute ein Muss

Technische IT-Sicherheitskonzepte, die in den letzten zehn Jahren von Firmen implementiert wurden, haben sich vor allem auf die Absicherung der Netzwerke konzentriert. Firewalls aus z. B. dynamischen Filtern, Proxies und URL-Filter wurden am Internet-Zugang aufgebaut. Dennoch steigt die Zahl der erfolgreichen Einbrüche in Firmennetze dramatisch an.

"Dies hängt u. a. mit dem ansteigenden Kommunikationsbedarf zwischen den einzelnen Organisationseinheiten der Unternehmen zusammen", weiß Thomas Kohl, Business Development Manager D/A/CH von Deny All, einem der führenden Unternehmen im Bereich Web-Applikationssicherheit. "Mehr globalisierte und automatisierte Prozesse mit Lieferanten, Partnern und Kunden bilden eine immer größer werdende Datenplattform", so Kohl weiter.

Die darauf zugreifenden webbasierten Anwendungen beispielsweise für die Personalabteilung, Forschung und Entwicklung, Produktion aber auch Web-Applikationen mit direkten Schnittstellen ins Internet bieten erfahrungsgemäß nicht den Sicherheitsschutz, der aus Unternehmenssicht und auch entsprechend den gesetzlichen Anforderungen erforderlich ist.

Die Unternehmensapplikationen sind gegen bekannte Angriffsmethoden wie SQL-Injection, Cross-Site-Scripting, Parameter-Manipulation und unbekannten Angriffen mit herkömmlichen DMZ-Strukturen und Firewalls ungeschützt. Die Angreifer schleusen ihre Attacken zum Beispiel als URLs mit trickreich geänderten Parametern, als http-Header-Werte oder als Benutzereingaben in Formulare einer Web-Anwendung ein. Dieses Gefahrenpotential erhöht sich, wenn ein Unternehmen eine Portalarchitektur aufgebaut hat. Ist der Hacker in diese Architektur eingedrungen, was in den meisten Fällen recht einfach ist, kann er beinahe frei auf die Appliaktionen und die dazugehörigen Daten zugreifen.

Web-Application-Firewalls sind State-of-the-Art

Damit ein Unternehmen den wirklichen Gefahren bezogen auf seine Unternehmenswerte, den Applikationen mit den dazugehörigen Daten, wirkungsvoll entgegentreten kann, darf nur eine Technik hierzu eingesetzt werden: eine Web-Application-Firewall.

Hierbei ist es wichtig, dass für http(s) sowie XML/SOAP neben den herkömmlichen Schutzmechanismen gegen bekannte Angriffe (wie SQL-Injection, Cross Site Scripting) auch technische Möglichkeiten geboten werden, die Applikationen vor unbekannten Angriffen zu schützen.

Dabei ist es ausschlaggebend, dass diese Schutzmöglichkeiten so in eine Lösung integriert sind, dass die Erstellung der Regelwerke bei der Erstkonfiguration ebenso automatisiert erfolgen kann wie spätere Anpassungen durch Änderungen in den Applikationen. Denn eines zeigt sich ganz deutlich: oft gibt es einen großen Widerstand seitens der Security-Verantwortlichen in den Unternehmen, da für sie der Betrieb einer solchen Security-Lösung als sehr aufwendig erscheint. Dies wird durch die Auswahl einer modernen WAF-Solution vermieden. Auch ist die flexible und individuelle Konfiguration des Security-Levels je Applikation ein elementarer Auswahlfaktor.

Brennpunkt Web-Applikationssicherheit

Nur langsam werden sich Anwender darüber im Klaren, dass sie auf einem Pulverfass sitzen: "Insbesondere die Frage der Zuständigkeit lässt sicherheitsnotwendige Entscheidungen hinauszögern", weiß Jürgen Kolb, Geschäftsführer von der auf IT Security-Dienstleistungen spezialisierten Antares Netlogix und Deny-All Projektpartner. Da ist der Netzwerkadministrator ebenso gefragt wie der Applikationsingenieur, so Kolb weiter.

Antares-NetlogiX Netzwerkberatung GmbH
Feldstraße 13, A - 3300 Amstetten
Tel.: ++43 (0) 7472 65 480
Fax: ++43 (0) 7472 65 480-10
www.netlogix.ws