Sicherheitsrisiko Web-Anwendungen

Es ist fast schon ein Glaubenskrieg: viele Nutzer sind in den letzten Jahren vom Internet Explorer auf Mozilla Firefox gewechselt, da ihnen der Microsoft-Browser zu unsicher schien und sie Angst vor angeblichen Datensammlungen des Herstellers haben. Außerdem gibt es für den Firefox jede Menge kostenloser und praktischer Plugins aus der Open-Source-Community. Doch wie eine aktuelle Studie zeigt, birgt inzwischen gerade der Firefox mit seinen Plugins jede Menge Gefahrenpotential. Die Web-Security-Firma Cenzic registrierte im ersten Halbjahr 2009 insgesamt rund 3100 Schwachstellen in Browsern und Web-Applikationen, das sind rund 10 Prozent mehr als noch im Vergleichzeitraum 2008. Dabei befanden sich etwa 90 Prozent der Lücken in kommerziellen Anwendungen, weitere acht Prozent in den Browsern selbst. Insgesamt wiesen 87 Prozent aller Web-Applikationen ernst zu nehmende Sicherheitsrisiken auf, so die Fachleute. Im zweiten Halbjahr 2008 waren es noch »nur« 78 Prozent.

Am häufigsten verbreitet sind Sicherheitslücken, die Cross-Site-Scripting und SQL-Injection ermöglichen. Mit diesen beiden Techniken wird es Cyberkriminellen beispielsweise möglich, fremde Web-Seiten zu kapern und für eigene Zwecke wie Phishing-Angriffe zu missbrauchen. Auch die Virenschreiber haben diesen Trend bereits erkannt und konzentrieren sich immer mehr auf die Web-Anwendungen und Plugins. So hat etwa die Sicherheitsfirma SANS Institute ermittelt, dass inzwischen 60 Prozent aller Cyberangriffe auf Schwachstellen in Web-Anwendungen zielen. Dabei sind es nicht nur Anwendungen aus »No-Name«-Schmieden, die den kriminellen die Türen öffnen: Die Top-10-Sicherheitslöcher in Anwendungen finden sich unter anderem in Produkten namhafter Hersteller, etwa Citrix, F5 Networks, IBM, SAP, Sun und Symantec.