Zum Inhalt springen

Sichere C/S-Architektur für E-Government (Fortsetzung)

Autor:Redaktion connect-professional • 23.2.2005 • ca. 1:15 Min

Inhalt
  1. Sichere C/S-Architektur für E-Government
  2. Sichere C/S-Architektur für E-Government (Fortsetzung)
  3. Sichere C/S-Architektur für E-Government (Fortsetzung)
  4. Sichere C/S-Architektur für E-Government (Fortsetzung)

Eingabe-Validierung ­unabdingbar
Beide Angriffsmethoden lassen sich durch systematische und konsequente Prüfungen der Ein- und Ausgaben weitgehend ausschließen. Eingaben von Benutzern sollten dabei einen mehrstufigen Prüfungs- und Analyseprozess durchlaufen. Bereits in der Präsentationsschicht können die Eingaben auf syntaktische Korrektheit (Formatprüfung, Längenprüfung) hin kontrolliert werden. Mit einer Eingabe-Validierung, die den Eingabestring auf die zulässigen Zeichen (z.B. [0-9,-]) geprüft hätte, wäre der im Kasten beschriebene Angriff bereits verhindert worden. Werden die eingegebenen Daten an nachgelagerte Systeme übergeben, sollte anschließend eine System-spezifische Überprüfung folgen. Dabei sind insbesondere die Eingangsdaten auf für das jeweilige Back­end zulässige Befehlsfolgen oder Escape-Sequenzen zu prüfen, um das Einschleusen von manipulativen Befehlen zu verhindern. Auch HTML-Fragmente in den Ein- oder Ausgaben sind gegebenenfalls an dieser Stelle erneut zu filtern, da HTML-Daten in der Mittel- und Persistenzschicht als Anzeichen für mögliche Cross-Site-Scripting-Angriffe zu werten sind. Zur Verhinderung des Einschleusens von betrügerischem SQL-Code hat sich darüber hinaus die Verwendung so genannter »Prepared Statements« und Speicherprozeduren bewährt. Im Gegensatz zu dynamisch erstellten SQL-Anweisungen, die erst zur Laufzeit aus vorgegebenen SQL-Fragmenten und Parametern komplett zusammengesetzt werden, sind bei diesen Techniken die SQL-Anweisungen in ihrer Struktur bereits zur Entwicklungszeit fest vorgegeben.
Wie das Beispiel im Kasten zeigt, steht zur Abwehr der vielfältigen Sicherheitsbedrohungen ein Bündel von Maßnahmen zur Verfügung, die im besten Fall schon bei der Erstellung der einzelnen Softwareapplikation berücksichtigt werden sollten. Zur Sicherheit von IT-Systemen gehören allerdings nicht nur präventive Maßnahmen wie die vorgestellten Design- und Architekturempfehlungen oder der Einsatz von Firewalls und Einbruchs-Sensoren, sondern vor allen Dingen durchdachte Sicherheits-Maßgaben, die auch den Mensch als mögliche Schwachstelle mit einbeziehen.    Dr. Stephan Krüdener und Stefan Sauer ­sind Mitglieder der ­
­Ge­schäftsleitung von INTESIO, ­einem Unternehmen der C1 Group.

1 2 3 4
Das könnte Sie auch interessieren
Mensch als zentraler Faktor
KI-Entwicklung schützen Richtlinie für sichere KI
Schmuckbild_Digital_Realty_web_Quelle_paisorn_AdobeStock_739771454.jpg
Advertorial Erfolg durch Datenverfügbarkeit
Christian Stapel, MHP
Nachhaltigkeit und Security Strategien für eine nachhaltige und sichere Lieferkette
EWE Gebäude
SASE und SD-WAN-Technologie EWE kooperiert mit Versa für sichere Netzwerkverbindungen
APT, Cyberangriff
Kein Projekt, sondern Ongoing-Prozess Kubermatic: Sichere Containerumgebung
Artesca
Sichere Datenspeicher-Lösungen TD Synnex erweitert mit Scality das Portfolio
Ruggedcom
Siemens: Weitere Switching-Plattform Sichere Konnektivität für kritische Infrastrukturen  
Cloud-Kommunikation
Infrastruktur, Plattform, Software Sichere Kommunikation in der Cloud beginnt im Rechenzentrum
Mehr passende Artikel
Messe Berlin, Smart Country Convention 2024
Impulse für Verwaltung und Regionen Smart Country Convention: Digitalisierung im öffentlichen Sektor
Apple Watch Series 9
Von wegen CO2-neutral Gericht stoppt Apple-Werbung wegen Greenwashing
GfK-Distributionsexpertin Tatjana Wismeth
NIQ/GfK-Analystin im Interview „Distribution bleibt letztendlich ein People Business“
T-Syste,s
Christine Knackfuß-Nikolic mit neuer Aufgabe Chief Sovereignty Officer: T-Systems schafft neue Stelle
Jörg Hartmann
Konica-Minolta- und Fujitsu-Manager IT-Branche trauert um Jörg Hartmann
Weiter zur Startseite