Startseite > Security > Die dunkle Seite der Web-Apps

Cyber Security

Die dunkle Seite der Web-Apps

17. September 2020, 14:22 Uhr | Autor: René Bader / Redaktion: Diana Künstler

Attacken auf Web-basierte Anwendungen sind sehr beliebt. Unternehmen schützen sich jedoch nur unzureichend vor diesen, meist bekannten Angriffsvektoren. Einige Branchen unterliegen einem besonders hohen Gefährdungsrisiko.

Handel und Dienstleistungssektor sind besonders betroffen: Drei von vier Cyberangriffen gehen in diesen Branchen auf Web-Attacken zurück. Diese Zahl muss jeden alarmieren, der sich in Unternehmen für die Sicherheit der IT-Systeme verantwortlich zeichnet. Vor allem, da immer mehr interne und externe Anwendungen auf Web-basierte Kommunikationsformen umgestellt werden. Einem hohen Risiko sind Firmen ausgesetzt, die ihren Kunden online eine öffentlich zugängliche Schnittstelle anbieten. Dazu gehören unter anderem E-Commerce-Shops, Online-Banking-Apps oder auch Versicherungen, die sogar die Option bieten, Schadensfälle online zu melden und Fotos vom Unfallort hochzuladen. Handelt es sich zum Beispiel um einen Autounfall, dann kalkulieren KI-gestützte Anwendungen auf Basis der hochgeladenen Fotos und der versicherten Fahrzeugtypen nahezu in Echtzeit gleich die zu erwartende Schadenssumme.

Einfallstore auf dem Silbertablett
Der Mehrwert von Web-Anwendungen für Kunden hat aber auch eine dunkle Kehrseite: Firmen exponieren sich und erhöhen damit ihr Geschäftsrisiko. Durch unzureichend abgesicherte Applikationen bietet sich Cyberkriminellen die Möglichkeit, Kontougangsdaten, Sozialversicherungsnummern oder Kundenlisten zu erbeuten, die auf dem digitalen Schwarzmarkt hoch gehandelt werden. Um sich gegen derartige Katastrophen, die fast immer mit Image-Einbußen und Umsatzverlusten verbunden sind, bestmöglich abzusichern, hilft ein Blick auf die unter Cyberkriminellen zurzeit besonders beliebten Angriffstechniken: die klassische SQL Injection, der Buffer Overflow, das heißt ein provozierter Fehler im Arbeitsspeicher-Management, oder Cross Site Scripting (XSS).

Besonders heimtückisch ist die Angriffstechnik XSS. Dabei gelingt es Angreifern, zum Beispiel in Javascript programmierten Schadcode in das Script eines Web-Servers einzuschleusen, der seine Webseiten dynamisch aufbaut. Das können Einkaufskörbe und Bestellformulare von E-Commerce-Shops oder Self Services von Krankenkassen sein. Ruft ein Kunde die Webseite des ansonsten als vertrauenswürdig eingestuften Web-Servers auf, wird der Schadcode im Browser des Kunden ungeprüft ausgeführt und kann dessen IT-System infiltrieren. Die Situation ist vergleichbar mit der eines mit Grippe infizierten Freundes, der jedem versichert, er sei vollkommen gesund. Per Handschlag, respektive Webseiten-Aufruf, verbreitet sich das Virus weiter.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Sicherheitstipps für Web-Applikationen
Sicherheits-Updates sofort aufspielen: Ein zeitnahes Patch-Management für Web-Applikationen hat oberste Priorität. Sie können ansonsten leicht zum Einfallstor für Hacker werden. Präzises Zugangs- und Konfigurations-Management: Zugriffsberechtigungen sollten genau geprüft und auf die Aufgaben des jeweiligen Mitarbeiters zugeschnitten werden. Unter Sicherheitsaspekten ist weniger oft mehr. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden. Segmentierung der Netzwerkumgebung: Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen isoliert werden und nicht auf andere Bereiche überspringen. Security by Design: Das Thema Sicherheit muss bei Architektur, Entwicklung und Design von Anfang an mitgedacht werden. Regelmäßige Sicherheitstests gehören zur Methodik einer agilen Software-Entwicklung. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden. Web Application Firewall (WAF): Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr. Regelmäßige Sicherheitstests: Empfehlenswert ist, regelmäßig die Unternehmens-IT auf Schwachstellen hin zu untersuchen, die Scan-Ergebnisse entsprechend zu priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vorzunehmen.

Sicherheitstipps für Web-Applikationen

Sicherheits-Updates sofort aufspielen: Ein zeitnahes Patch-Management für Web-Applikationen hat oberste Priorität. Sie können ansonsten leicht zum Einfallstor für Hacker werden.
Präzises Zugangs- und Konfigurations-Management: Zugriffsberechtigungen sollten genau geprüft und auf die Aufgaben des jeweiligen Mitarbeiters zugeschnitten werden. Unter Sicherheitsaspekten ist weniger oft mehr. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden.
Segmentierung der Netzwerkumgebung: Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen isoliert werden und nicht auf andere Bereiche überspringen.
Security by Design: Das Thema Sicherheit muss bei Architektur, Entwicklung und Design von Anfang an mitgedacht werden. Regelmäßige Sicherheitstests gehören zur Methodik einer agilen Software-Entwicklung. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden.
Web Application Firewall (WAF): Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr.
Regelmäßige Sicherheitstests: Empfehlenswert ist, regelmäßig die Unternehmens-IT auf Schwachstellen hin zu untersuchen, die Scan-Ergebnisse entsprechend zu priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vorzunehmen.