Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Lieber in Kaffee investieren als in Web-Application-Security

Sicherheitskonzept für Web-Anwendungen

Lieber in Kaffee investieren als in Web-Application-Security

20. Juni 2011, 17:10 Uhr | Thomas Hruby, Geschäftsführer Sysob IT-Distribution
Fortsetzung des Artikels von Teil 1

Unsicheres Daten-Schlaraffenland

Tore zum „Daten-Schlaraffenland“
Waren früher sensible Daten und kritische Transaktionen erst hinter mehrfachen Verteidigungslinien abrufbar, bieten Web-Applikationen heute einen direkten Zugriff auf die wichtigsten Daten eines Unternehmens. Nur eine Schwachstelle auf irgendeiner Ebene genügt, und schon öffnet sich das Tor zum „Daten-Schlaraffenland“ für jeden Cyber-Dieb. Was darüber hinaus von vielen Unternehmen unterschätzt wird, ist die Tatsache, dass bei einem erfolgreichen Angriff nicht nur die Daten in Gefahr sind, die die Web-Applikation selbst verwendet. Alle angeschlossenen Systeme und Schnittstellen sind potenziell ungeschützt.

Geändert hat sich allerdings die Vorgehensweise der Angreifer. Während früher Schadprogramme geschrieben wurden, die sich auf beliebige Ziele stürzten, sind die Informationsdiebstähle von heute viel zielgerichteter. Ein interessantes Ziel wird technisch so manipuliert, dass die gewünschten Daten einfach extrahiert werden können. Bei Online-Banking-Angeboten ersetzen Phishing-Angriffe, SQL-Injections oder Man-in-the-Middle-Attacken den konventionellen Bankeinbruch. Angreifer auf Bankennetzwerke haben es explizit auf PINs, TANs, Kreditkartennummern und andere hochsensible Kundendaten abgesehen. Auch Partnerportale oder Intranets werden ausspioniert, um beispielsweise an Preisabsprachen, Produktgeheimnisse oder Vertragsdaten heranzukommen. Schon die klassischen Manipulationsmethoden wie Forceful-Browsing, Cross-Site-Scripting, SQL- oder Command-Injections etc. führen bei drei Viertel aller Web-Applikationen zum Erfolg. Mit der Popularität der Social-Media-Plattformen haben die digitalen Schädlinge zusätzlichen Nährboden erhalten. Viele Unternehmen wurden bereits einmal Opfer verschiedener Attacken, die von sozialen Netzwerken wie Xing, Facebook, Twitter etc. ausgingen.

Das Tückische an dieser zielgerichteten Vorgehensweise ist, dass solche Datenzugriffe nicht über die Signatur erkennbar sind. Reaktive Sicherheitssysteme wie ein IDS (Intrusion-Detection-System) oder ein IPS, aber auch Firewalls oder Reverse-Proxys helfen hier nicht weiter, insbesondere wenn es sich um so genannte Zero-Day-Attacken handelt. Hier sind vielmehr Lösungen gefragt, die reaktive und proaktive Maßnahmen kombinieren. Denn Web-Applications benötigen einen speziellen Schutz. Die Lösung bieten vielmehr Web-Application-Firewalls, die auch hinter die Kulissen der Angreifer schauen und sich nicht schon beim ersten Versuch eines Eindringlings täuschen lassen. Sie stehen quasi zwischen Anwender und Web-Application und lassen nur gültige URLs zu.

Ganz sicher nicht sicher
Ein klassischer Denkfehler der Netzwerkadministratoren bezieht sich auf das SSL-Netzwerkprotokoll. Das Protokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Web-Browser und dem Server. Allerdings dient es nicht der Absicherung des Servers selbst. Viele Hacker machen sich diesen „Schutz“ sogar zu Eigen und gelangen über diesen Weg auch „sicher und verschlüsselt bis zum Firmen-Web-Server. Um diese Attacken früh genug zu erkennen, müssen Netzwerkverantwortliche Vorkehrungen treffen. Beispielsweise sollten sie dafür Sorge tragen, dass SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden.

Viele Unternehmen wähnen sich auch in Sicherheit, weil sie bereits teure Netzwerk-Firewalls im Einsatz haben. Diese prüfen in Echtzeit den Datenverkehr zum Web-Server beziehungsweise die Signaturen und Protokolle der Nutzeranfragen an den Server. Eine herkömmliche Firewall erkennt aber bestenfalls einfache Angriffe mittels vordefinierter Signaturen. Um die meist getarnten Hackerangriffe zu identifizieren, sollte eine Firewall auch den verschlüsselten Datenverkehr im Auge behalten. Die reine Filterung von URL-Signaturen reicht längst nicht mehr aus. Vielmehr müssen sich Netzwerkverantwortliche mit Security-Themen wie vorgelagerter Authentifizierung, Cookie-Protection und dem Schutz von URL-Adressen und HTML-Formularen auseinandersetzen.

Anbieter zum Thema

AfB gemeinnützige GmbH
G DATA CyberDefense AG
HP Deutschland GmbH
Zyxel Networks A/S
Matchmaker+
zu Matchmaker+
  1. Lieber in Kaffee investieren als in Web-Application-Security
  2. Unsicheres Daten-Schlaraffenland
  3. Vorteile & Fazit

Lesen Sie mehr zum Thema

Digital Workplace
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Digital Workplace

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

„LG 27BA75QB-B“ im Test

Business-Profi mit Komfort-Funktionen

Homeoffice: Studie von Design Offices

Früher war mehr Kultur

Teamviewer One

Teamviewer mit neuer Digital-Workplace-Plattform

Zukunft zum Anfassen

OMR 2025: Wo KI vom Hype zur Umsetzung wird

Matchmaker+
nexspace data centers GmbH

nexspace data centers GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
Panduit

Panduit

Dahua Technology GmbH

Dahua Technology GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG