Sicherheit für Webanwendungen

Um Webanwendungen zu manipulieren, benötigen Hacker meist weder umfangreiche Programmierkenntnisse noch spezielle Hilfsmittel. Und viele Webapplikationen sind nur ungenügend geschützt. Während Unternehmen bei Netzwerksicherheit und Virenschutz heute meist gerüstet sind, unterschätzen sie die Risiken von Webanwendungen nach wie vor.

Laut Security-Spezialist Symantec erfolgen vier Fünftel der Web-Angriffe über leicht ausnutzbare Schwachstellen. Zudem ermöglichen Webapplikationen direkten Durchgriff auf Backend-Systeme. Sensible Informationen wie Kundendaten oder vertrauliche Geschäftsunterlagen können so preisgegeben werden. Nach Expertenmeinung operieren Hacker immer häufiger gemeinsam mit der organisierten Kriminalität - hinter den Angriffen stecken oft konkrete wirtschaftliche Interessen, mit beträchtlichen Folgen für die Betroffenen. Denn neben der Störung der internen Prozesse droht massiver Imageverlust - und damit verbundene Umsatzeinbußen.

Traditionelle Konzepte reichen nicht

Dabei ergeben sich durch den Einsatz von Webanwendungen und Web-Services viele Vorteile. Immer mehr Unternehmen binden deshalb Partner, Dienstleister und Lieferanten online ein, auch Geschäfte mit Endkunden werden zunehmend so abgewickelt. Dass der Datenschutz bisweilen auf der Strecke bleibt, zeigt das Beispiel eines großen Versandhauses. Dort konnten Betrüger bis vor kurzem auf fremde Rechnungen online einkaufen. Dazu mussten Sie nur den Link "Passwort vergessen" anklicken, und konnten sich dann als einer von mehreren tausend Shops ausgeben, der dann die Rechnung für die Bestellung bekam. Aus technischer Sicht sind mehrere Herausforderungen zu bewältigen: Weil sie oft unter großem Zeit- und Kostendruck entwickelt werden, wird die Sicherheit nicht konsequent bedacht. Sicherheitslücken werden dann erst nachträglich geschlossen, während im Web täglich neue Bedrohungen aufkommen.

Die größten Gefahren drohen durch Angriffe auf Anwendungsebene - wie zum Beispiel SQL-Injection oder Cross-Site-Scripting. Traditionelle Sicherheitskomponenten wie Netzwerk-Firewalls und Intrusion-Detection-Systeme sind hier in der Regel machtlos. Sie "verstehen" Anwendungs-Traffic auf Session- oder User-Ebene nicht, können bösartiges nicht von normalem Verhalten unterscheiden. Und Hacker passen ihre "Waffen" ständig neuen Konstellationen an. Auch die so genannten Zero-Day-Attacken - also Angriffe, für die noch keine Schutzmechanismen entwickelt wurden - gilt es abzuwehren.

Umfassender Schutz

Viele Argumente also für Web Application Firewalls - im Idealfall analysieren solche Sicherheitslösungen den gesamten bidirektionalen HTML-Datenverkehr, um Angriffe auf Anwendungsebene zu identifizieren und abzuwehren. Auch die SSL-verschlüsselte Kommunikation gilt es zu durchleuchten; denn auch dieser Datenverkehr ist nicht per se geschützt. Oft versuchen Hacker, Attacken über geschützte SSL-Tunnel auszuführen und sie so vor Netzwerk-Sicherheitskomponenten zu verbergen.

Manche Lösungen erkennen korrektes Anwendungsverhalten auch, indem sie den Abgleich mit einer "White List" vornehmen und ausschließlich erwünschte Zugriffe weiterleiten. Auch empfiehlt es sich, nach außen alle sensiblen Informationen über die Applikationsumgebung zu verbergen - beispielsweise Server-Adressen, Domain-Bezeichnungen oder Angaben über Betriebssysteme. Angreifer könnten andernfalls gezielt nach möglichen Schwachstellen in der IT-Infrastruktur des Unternehmens suchen. So schützen moderne Sicherheitstechnologien Webanwendungen, ohne dabei ein anderes wichtiges Thema aus den Augen zu verlieren: die Performance. Weil rechen- und speicherintensive Aufgaben von den Web-Servern verlagert werden, verbessern sich in manchen Fällen die Antwortzeiten.

www.citrix.at