Filtertechniken vom Feinsten
Filtertechniken vom Feinsten Bei Webanwendungen können die unvermeidlichen Programmierfehler besonders desaströs werden. Schutzmechanismen wie Web Application Firewalls filtern Schmutzcode aus. Eine glatte Lösung für alle Wünsche wird es allerdings wohl nie geben.
- Filtertechniken vom Feinsten
- Lernmodi können Probleme bereiten
- Teilweise geringe Einsatzerfahrungen
- Qual der Wahl
Die digitale Ökonomie hat Hochkonjunktur. Immer mehr Anwendungen sollen webfähig und damit Teil eines weltweiten Selbstbedienungsladens werden. Aber mit der Selbstbedienung ist das so eine Sache. Durch die »Webifizierung« werden Programme nicht nur öffentlich bedienbar, sondern auch klammheimlich angreifbar. Auf den ersten Blick scheinen die Schattenseiten der Selbstbedienung behebbar zu sein. Man muss einfach böse Absichten vorherahnen und durch geschickte Programmierung vereiteln. Eine stetige Codekontrolle sollte eventuell doch entstandene Fehler schnell eliminieren. Doch solche Gedanken sind nur graue Theorie. Banken zum Beispiel haben in der Regel 600 bis 1000 verschiedene Anwendungen in Betrieb, die auf insgesamt 80 bis 100 Datenbank-Systeme zugreifen und zwischen sechs und zehn Middleware-Systeme erfordern, um reibungsfrei betrieben werden zu können. Allein diese Zahlen deuten an, dass vermutlich die Qualität mit der Quantität nicht Schritt halten kann. Mehr noch: »Bei vielen großen Webprojekten, beispielsweise bei der Anbindung von gekauften SAP-Anwendungen, kann man den Code schon deshalb nicht prüfen, weil man nicht an ihn herankommt«, sagt Dr. Georg Heß, Geschäftsführer der Firma »Art of Defence« in Regensburg.
Statische und dynamische Komponenten Das Regensburger Unternehmen ist einer der Anbieter von Schutzsoftware, die Lücken in Webanwendungen aufspürt und neutralisiert. Diese unter dem etwas unglücklichen Begriff »Web Application Firewall« (WAF) angebotenen Instrumente blockieren beispielsweise Versuche, in Browser-Eingabefenster Code einzugeben, der Systeme im Hintergrund (Datenbanken) manipuliert. Oder sie verhindern, dass sich jemand auf eine fremde http-Session »durch das Kapern von Cookies und ähnlichem aufschaltet«. Gängige Schutzinstrumente sind auch das Erstellen von Positiv- und Negativlisten, in denen aufgeführt ist, was erlaubt was verboten ist. Auch die Verschlüsselung von Webadressen, SSL-Terminierung und SSL-Dechiffrierung sowie spezielle Authentisierungsverfahren gehören zu den Schutzmechanismen. Im Grunde versuchen die beschriebenen Schutzsysteme die Semantik der Applikation nachzuempfinden, also zu verstehen, was die Applikation will und damit gleichermaßen aufzudecken, was sie nicht wollen darf. Dass dies ein ambitioniertes Unterfangen ist und allenfalls zum Teil gelingen kann, wird jeder einsehen. Webanwendungen sind vielfältig und mit vorweg definierten Positiv- oder Negativlisten wird man vielen dieser Anwendungen nicht gerecht werden können. Schon von Anfang an enthielten deshalb einige Web Application Firewalls neben den statischen, also vordefinierten Richtlinien, auch eine dynamische Komponente (so das Produkt von Sanctum, das heute samt Firma vom Markt verschwunden ist). De facto handelt es dabei um einen Lernmodus, bei dem quasi automatisch das tatsächliche Verhalten eines berechtigten Nutzers mit bestimmten Anwendungen analysiert und daraus resultierende Gebote oder Verbote dem bestehenden statischen Regelsatz hinzugefügt werden.
