Webapplikationen - Ein wunder Punkt in der IT-Sicherheit
Webanwendungen gehören heute zu den größten Sicherheitsschwachstellen. Diese können nur dadurch behoben werden, indem Sicherheit zentraler Bestandteil des Designs, der Implementierung und des Betriebs von Webanwendungen wird.
Zum Standard in den Unternehmen gehören heute Firewalls, Antivirensoftware, IDS/IPS-Systeme, Verschlüsselungen und Patch-Management zum Schließen von erkannten Schwachstellen in Standardprodukten. Angriffe, die auf Webanwendungen abzielen, werden mit diesen Maßnahmen nicht oder nur ungenügend abgewehrt. Denn die Angreifer nutzen typischerweise die erlaubten Netzwerkverbindungen des Benutzers zur Webanwendung, sodass auf Infrastrukturebene keine Unregelmäßigkeiten zu erkennen sind. Kriminelle zielen hierbei nicht nur auf die eingesetzten Betriebssysteme oder Standardprodukte, sondern überwiegend auf Schwachstellen bei der Verarbeitung von HTTP-Nachrichten durch die Webanwendung selbst ab. Und diese Angriffe liegen im Trend. Die Ergebnisse des IBM X-Force Annual Report 2008 zeigen, dass 55 Prozent aller Schwachstellen in Software oder Softwarekomponenten sich auf Webapplikation auswirken.
Durch die relativ einfache Umsetzung dieser Angriffe und die freie Verfügbarkeit von Tools im Internet, können Angreifer ohne großes Fachwissen erheblichen Schaden anrichten, wie beispielsweise Identitätsdiebstahl, um unter falscher Identität Wareneinkäufe oder Geldtransaktionen durchzuführen. Häufig kommt es auch zur Störung der Verfügbarkeit bis hin zum kompletten Ausfall der Webapplikation, die zum Erliegen wichtiger Geschäftsprozesse und damit zu finanziellen Schäden führen können.
Keine Frage, Web-Applikationen sind nützliche Tools, die vieles ermöglichen und vereinfachen. Sie bergen jedoch auch Risiken, deren Konsequenzen in keinem Verhältnis zum Nutzen und dem Wert dieser stehen. Das bedeutet nicht, dass wir auf sie verzichten sollten oder müssen. Wir können vom Service der Web-Anwendungen weiterhin profitieren, so lange wir dafür sorgen, dass sie sicher sind. Es gilt daher, IT- und Informations-Sicherheit zum integralen Bestandteil bei Design, Implementierung und Betrieb von Webanwendungen zu machen. Dazu gehören die sichere Codierung von Webanwendung, Penetrationstests, Einsatz von App Scans und Web Application Firewalls, die Umsetzung von Information Security Management Prozessen, sowie das Schaffen eines höheren Sicherheits-Bewusstseins bei Entwicklern und Nutzern. Sie würden schließlich auch kein Auto am Berg abstellen und die Handbremse nicht anziehen, oder?
