Lernmodi können Probleme bereiten

Dass das Schlagwort »Lernmodus« im Leistungskatalog eines Produkts durchaus noch wenig besagt, darauf weist Stefan Strobel hin, Geschäftsführer des Heilbronner Sicherheitsspezialisten Cirosec, der sich schon seit Jahren mit den verschiedenen WAF-Produkten beschäftigt. Je nach Art der zu schützenden Anwendung benötigt man in der Praxis verschiedene Lernmodi. Produkte, die gänzlich ohne eine dyna­mische Komponente, etwa zur Sessionverfolgung, ­arbeiten, sieht Strobel als nicht zeitgemäß und wenig zielführend für viele Problemlösungen an: »Bei dem quelloffenen Tool mod-security für den Apache ­Webserver beispielsweise würde ich nicht von einer Web Application Firewall sprechen, weil fast alles händisch konfiguriert werden muss. Damit lassen sich viele der heutigen Angriffsszenarien nicht abwehren und der Betriebsaufwand ist immens«, sagt Strobel. Im Übrigen betont der Cirosec-Geschäftsführer, dass auch Konstrukte mit einem dynamischen Lernmodus in manchen Kontexten stumpf bleiben beziehungsweise Probleme bereiten: »Dynamische Verfahren ­lassen beispielsweise bestimmte Handlungen nur zu, wenn vorher schon andere Seiten aufgerufen wurden. Das kann dann dazu führen, dass ein gesetztes Bookmark, das Sie vierzehn Tage später aufrufen wollen, von der Web Application Firewall als nicht erlaubt eingestuft wird. Und auch der Aufruf von Suchmaschinen aus kann zu Problemen führen. Ein gutes Produkt muss deshalb mehrere Lernmodi beziehungsweise ­Lösungswege anbieten.«