Sicherheitskonzept für Web-Anwendungen
Lieber in Kaffee investieren als in Web-Application-Security
Die Nachricht ist nicht neu – und das ist vielleicht gerade das Erschreckende. Weiterhin zielen die meisten Hacker-Angriffe in Unternehmen auf Web-Anwendungen ab. Obwohl derartige Schlagzeilen schon vor drei Jahren zu lesen waren, hat dies die Firmen nicht gerade zum Handeln gezwungen, wie aktuelle Umfragen zeigen. Viele Betriebe sind sich der Gefahr noch nicht bewusst. Der fast einhellige bitter-ironische Tenor: „Das Kaffee-Budget pro Mitarbeiter ist höher als für Web-Application-Security (WAS).“ Dabei gilt es gerade in diesem Bereich, „wach“ zu sein.
Der Definition nach sind Web-Applikationen eine elektronische Schnittstelle zu Daten und Transaktionen. Leider bieten sie Hackern aber auch vielfältige Ansatzpunkte zum Datendiebstahl. Nirgends sind sie so nah am gewünschten Ziel wie bei den Web-Applikationen. Einer der Hauptvorteile: Die Angreifer können zielgerichtet arbeiten und bleiben zudem meist unerkannt, da sie gar nicht erst „gesehen“ werden. Denn professionelle Datenzugriffe laufen oftmals im Verborgenen und über verdeckte Pfade ab. Sie hinterlassen auf Web-Anwendungen oft keine Spuren und werden nicht entdeckt, weil die Daten nicht verschwinden oder verändert werden. Alle Anwendungen funktionieren einwandfrei weiter. Die heutige Wahrnehmung scheint immer noch geprägt zu sein von den Viren und Trojanern, deren Angriffe stets auffällige Folgen hatten. Heute werden Web-Application-Schwachstellen meist nicht schnell genug erkannt. Obwohl es sich inzwischen herumgesprochen hat, dass Web-Anwendungen weiterhin das beliebteste Einfallstor für Hacker sind, halten sich auch unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen.
Umfrage unterstreicht Desinteresse an WAS
Eine aktuelle Umfrage („State of Web Application Security“) des Ponemon Institute in Zusammenarbeit mit dem Sicherheitsspezialisten Barracuda Networks hat aktuell 637 IT- beziehungsweise IT-Security-Verantwortliche, die im Schnitt über mehr als elf Jahre Berufserfahrung verfügen, bezüglich ihrer Meinung zum aktuellen Stellenwert einer Web-Application-Security in ihrem Unternehmen befragt. Das Ergebnis ist ernüchternd. Zwar sind sich rund 74 Prozent der Bedeutung eines guten Sicherheitskonzeptes für Web-Anwendungen bewusst, geht es jedoch um die Umsetzung eines solchen, „siegt“ letztlich der Budget-Druck über den Sicherheitsgedanken. 88 Prozent bestätigten den bildlichen Vergleich, dass mehr Geld in die Kaffeekasse der Mitarbeiter investiert würde (ca. 30 Dollar beziehungsweise rund 20 Euro pro Mitarbeiter im Monat) als in WAS-Maßnahmen. Nur 12 Prozent gaben an, ihre Web-Applikationen regelmäßig auf Schwachstellen zu überprüfen – und das, obwohl 73 Prozent in den zum Zeitpunkt der Befragung vergangenen 24 Monaten einen Hacker-Angriff zu vermelden hatten. 64 Prozent gaben an, dass ihr Unternehmen nicht in der Lage sei, schnell auf vorhandene Sicherheitslücken innerhalb ihrer Web Applications zu reagieren.
Diejenigen, die in ein umfassendes Web-Application-Security-Konzept investieren, nannten als Gründe vor allem Datenschutz und die Einhaltung von Compliance-Regularien. Innerhalb dieser Maßnahmen kommen laut Studie meistens entweder Web-Application-Firewalls (WAFs) oder Intrusion-Prevention-Systeme (IPS) zum Einsatz. Aber auch wenn entsprechende Sicherheitskonzepte vorhanden sind, heißt das bei Weitem nicht, dass in der Administration keine Fehler passieren – oft einfach auf Grund von Unwissenheit, wie ein paar populäre Denkfehler unterstreichen.
- Lieber in Kaffee investieren als in Web-Application-Security
- Unsicheres Daten-Schlaraffenland
- Vorteile & Fazit
Lesen Sie mehr zum Thema
