Applikationssicherheit
Anwendungen schützen statt Mauern bauen
Fortsetzung des Artikels von Teil 1
Wo ist das Unternehmen verwundbar?
Deshalb gehört zu einer richtigen Risikoabschätzung auch eine umfassende Bedrohungsanalyse, die vom jeweiligen Unternehmen und seiner speziellen Situation abhängt. Die zentrale Frage lautet: Welche Daten und welche Anwendungen sind kritisch für den Erfolg des Unternehmens und müssen daher besonders geschützt werden? Und umgekehrt, angesichts begrenzter IT-Budgets: Welche Gefahren sind für das Unternehmen nicht oder weniger relevant und können deshalb nach reiflicher Überlegung vernachlässigt werden? Denn nicht alles ist gleich stark gefährdet und nicht gleichermaßen schützenswert.
Jede Bedrohungs- und Risikoanalyse berücksichtigt die folgenden vier Aspekte:
- Vertraulichkeit: Daten dürfen nur autorisierten Benutzern innerhalb des Unternehmens zugänglich sein. Verschaffen sich Unbefugte Zugang zu den Daten, etwa durch Einbruch oder durch Abfangen übertragener Daten, drohen verschiedene Szenarien: Erpressung durch Kriminelle (die Firmengeheimnisse weitergeben oder offenlegen können), der Verlust von Wettbewerbsvorteilen (wenn Angreifer Informationen über Innovationen oder geheime Verfahrensweisen oder Konditionen mit Lieferanten/Kunden der Konkurrenz zuspielen), Image- und Vertrauensverlust (wenn Kundendaten in falsche Hände geraten oder veröffentlicht werden).
- Integrität: Die Daten dürfen nicht unbemerkt oder von unbefugten Personen verändert werden. Alle Bearbeitungen, die im Geschäftsprozess laufend vorkommen, müssen innerhalb der Systeme nachvollziehbar sein, typischerweise durch eine Versionsverwaltung, die Bestandteil von Dokumentenmanagementsystemen ist. Die Versionsverwaltung zeichnet auf, wer wann welche Änderungen vorgenommen hat, außerdem erlaubt sie die Wiederherstellung gelöschter Daten oder früherer Versionsstände. Die Verletzung der Datenintegrität kann gewaltige Kosten nach sich ziehen: Das Unternehmen muss aufwendig untersuchen, welche Daten betroffen sind. Zudem können nicht entdeckte Manipulationen im Grunde bei allen Abteilungen negative Auswirkungen haben. Besonders gravierend sind sie oft bei Buchhaltung, Ein- und Verkauf, der Fertigung sowie im Forschungs- und Entwicklungsbereich.
- Verfügbarkeit: Die Daten und Anwendungen müssen jederzeit (innerhalb des zuvor definierten Zeitrahmens) für die Unternehmensmitarbeiter und die Kunden verfügbar sein – selbstverständlich nur im Rahmen der jeweiligen Zugriffsberechtigungen. Ausfälle eines Online-Shops oder einer B2B-Beschaffungsplattform führen unmittelbar zu Umsatzeinbußen. Ein nicht oder nur eingeschränkt erreichbarer Online-Support kostet Dienstleistern Geld und verärgert Kunden oder führt dazu, dass potenzielle Kunden zur Konkurrenz gehen.
- Authentizität: Daten, die elektronisch übermittelt wurden, müssen überprüfbar vom angegebenen Absender stammen und dürfen auf dem Weg zum Empfänger nicht manipuliert worden sein. Nur so ist gewährleistet, dass zum Beispiel Angebote oder Aufträge tatsächlich vom jeweiligen Unternehmen kommen. Beim elektronischen Zahlungsverkehr und anderen Transaktionssystemen muss auch die Authentizität der Hard- und Software garantiert sein.
Eine umfassende Analyse klärt, welche konkreten Folgen der Verlust der Vertraulichkeit, der Integrität oder der Verfügbarkeit der Anwendungen und Daten für das Unternehmen hat. Dabei helfen Fragen wie:
- Welche Daten und Anwendungen sind wirklich kritisch für das Unternehmen?
- Welche Anwendungen sorgen für den größten Umsatz oder Gewinn?
- Welche Daten sind nur mit hohem Aufwand ersetzbar/wiederherstellbar?
- Welche Anwendungen oder Daten sind für den laufenden Betrieb zwingend erforderlich?
- In welchen Fällen droht dem Unternehmen hoher Ansehensverlust?
- Welche Daten haben für Angreifer den höchsten Wert?
- Welche Daten haben für das Unternehmen den höchsten Wert?
Schutzmaßnahmen
Die meisten Angriffe auf Anwendungen laufen heute über Web-Portale und zielen auf die entsprechenden Protokolle wie TCP/IP oder HTTP ab. Dabei lautet nicht die Frage, ob ein Unternehmen angegriffen wird, sondern wann. Denn seit einiger Zeit nutzen Hacker automatische Systeme, die sämtliche IP-Adressen im Internet auf Schwachstellen testen.
Viele Unternehmen sind zudem irrtümlich der Meinung, dass verschlüsselte Verbindungen durch HTTPS jederzeit eine hohe Sicherheit gewährleisten. Tatsächlich gilt dies nur für den Datentransfer, also während der Übertragung von Client zu Server. Falls ein Nutzer jedoch eine Webseite öffnet und dort Kontoangaben oder sensible Informationen eingibt, sind die Daten so lange nicht geschützt, bis er auf „Senden“ klickt. In der Zwischenzeit kann ein Trojaner im Browser oder eine andere Phishing-Malware diese Daten ausspähen.
Doch nicht nur auf der Client-Seite sind Anwendungen abzusichern, sondern auch Server-seitig. Unternehmen, die Web-Applikationen hosten und diese stärker schützen möchten, sollten Web Application Firewalls einsetzen. Standardlösungen, die Angriffe nur auf Netzwerkprotokollebene sichtbar machen, greifen nämlich zu kurz. Eine Web Application Firewall ist darauf spezialisiert, verschiedene Arten von Angriffen auf die unterschiedlichen Webprotokolle wie HTTP und begleitende Protokolle wie Java oder XML zu erkennen.
Anstatt einzelne Sicherheitslösungen für jede Art von Bedrohung einzusetzen, ist eine integrierte Security-Plattform empfehlenswert, die alle Funktionen bündelt. Um einen echten Rundumschutz zu ermöglichen, sollten Unternehmen ihre Sicherheitsszenarien zudem gegenüber aktuellen Top-Ten-Listen mit den häufigsten Bedrohungen und Angriffsszenarien prüfen. Da sich diese Angriffsarten relativ schnell ändern können, hat dies in regelmäßigen Abständen zu erfolgen. Anschließend ist das Security-Konzept an die aktuellen Entwicklungen anzupassen. Vor allem die Anwendungen sind dann in einem umfassenden Ansatz aus On-Premise- und Cloud-Lösungen zu schützen.
Ralf Sydekum ist Technical Manager DACH bei F5 Networks .
- Anwendungen schützen statt Mauern bauen
- Wo ist das Unternehmen verwundbar?
Lesen Sie mehr zum Thema
