Webanwendungen - Ja aber sicher. Webanwendungen haben ihre ganz eigene Sicherheitsproblematik. Sichere Programmiertechniken sind deshalb angesagt. Diese sollten durch spezielle Eingabe-Format-Scanner unterstützt werden.
Die gute Nachricht zuerst: »Sichere Webanwendungen sind machbar«, sagt Thomas Veit, Berater im deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Die schlechte Nachricht hält Balázs Scheidler, Chef des ungarischen Firewall-Spezialisten BalaBit bereit, wenn er konstatiert: »Die meisten Webanwendungen wurden bisher nicht unter Sicherheitsgesichtspunkten entwickelt«. Letzteres ist nicht zuletzt deshalb fahrlässig, weil gerade Webanwendungen besonders gefährdet sind. Aus der Prozesslogik heraus sind nämlich zum Beispiel webfähige Programmier- und Skriptsprachen wie Active Server Pages mit der Datenbankabfragesprache, sei es nun SQL oder eine XML-basierte Sprache, eng verknüpft. Dadurch ist es relativ leicht möglich, ausführbaren Code in Felder einzuschleusen, die für »harmlose Eingabedaten« vorgesehen sind. Leute mit krimineller Energie schicken da dann schon einmal statt des Namens und der Adresse einen verkappten Löschbefehl an die dahinter liegende Datenbank oder versuchen, diese teilweise oder vollständig auszulesen. Kontodaten oder Kreditkartennummern inklusive.