Cyber Security
Die dunkle Seite der Web-Apps
Fortsetzung des Artikels von Teil 1
Software-Robots finden Leaks
Cyberkriminelle überlassen dabei nichts dem Zufall, dafür ist das Geschäft zu lukrativ. Sie schicken Software-Robots durchs Netz, die sehr schnell und automatisiert zehntausende Websites auf Schwachstellen überprüfen. Gibt es ein Sicherheitsleck, ein unsicheres Passwort, einen unzureichend abgesicherten Port oder ein unkorrekt programmiertes Web-Formular, dann wird es auch gefunden. Die für einen Angriff benötigten Toolkits können im Dark Web käuflich erworben werden, ein Teil ist bereits frei im Internet erhältlich. Es sind also noch nicht einmal tiefere Programmierkenntnisse erforderlich, um Schwachstellen für eine Attacke auszunutzen. Die Erfahrung zeigt, dass viele Angriffe langfristig angelegt sind. Ist der Schadcode ins IT-System eines Finanzunternehmens oder eines Dienstleistungsanbieters eingedrungen, passiert in vielen Fällen erst einmal gar nichts. Viele Opfer wissen deshalb nicht, dass eine Zeitbombe in ihrem IT-System schlummert, die Cyberkriminelle per Fernbedienung dann zünden, wenn der Zeitpunkt für sie am attraktivsten erscheint. Im E-Commerce wäre das etwa die Hauptverkaufssaison vor Weihnachten, im Tourismus und in der Hotellerie die Phase einige Wochen vor den Sommerferien. Aus gutem Grund kursiert unter Sicherheitsspezialisten das geflügelte Wort, es gebe zwei Typen von Unternehmen: Diejenigen, die gehackt wurden, und diejenigen, die es nicht wissen. Der drohende Schaden hängt dabei von der Angriffsstrategie ab. Einige Angriffe zielen gar nicht auf den schnellen Profit; manchmal geschieht die Infiltration durch Schadcode auch mit der Absicht, ein IT-System auszuspionieren und die Kontrolle zu erlangen, um eine spätere, noch größere Attacke vorzubereiten.
Wichtig ist deshalb, einen Schaden zum Beispiel durch geeignete Sicherheitsmaßnahmen möglichst zu begrenzen und Sicherheitslücken sofort nach Bekanntgabe durch Patches zu schließen. Viele Unternehmen behandeln die Sicherheit der Web-Applikationen heute aber immer noch sehr stiefmütterlich, auch weil diesem Angriffsvektor in der Vergangenheit keine große Relevanz zukam. White Hat Security, Spezialist für Applikationssicherheit und Tochterunternehmen von NTT, hat herausgefunden, dass zwischen dem Erkennen und Beheben von Schwachstellen im Durchschnitt 380 bis 390 Tage vergehen. Damit setzen sich Unternehmen einem unkalkulierbaren, aber auch völlig unnötigen Sicherheitsrisiko aus.
Risiko-Applikationen
Als potenziell risikobehaftet gelten unter anderem Web-Shops aus der Open-Source-Community und Container-Technologien wie Docker. Zwar gilt Open-Source-Software zurecht als innovativ und agil, zudem ist sie für Anwender kostenfrei nutzbar. Aber Sicherheitserwägungen genießen in der Open-Source-Gemeinde nicht unbedingt oberste Priorität. NTT beispielsweise hat einen beliebten freien Web-Shop einem Sicherheitstest unterzogen, mit unbefriedigendem Ergebnis. Auch Container, die ursprünglich zum performanten Aufsetzen von Testumgebungen konzipiert wurden, sind unter der Perspektive strategischer Sicherheitsüberlegungen zurzeit noch nicht zufriedenstellend ausgereift.
Ein konzertiertes Bündel an Maßnahmen hilft, IT-Systeme gegen Angriffe von außen zu härten. Dazu gehören die korrekte Konfiguration etwa von Content-Management-Systemen und regelmäßig wechselnde Passwörter, aber auch Web-Application-Firewalls, Intrusion-Detection-Systeme und die Micro-Segmentierung der firmeninternen Netzwerke. Es empfiehlt sich, die operationale IT im Backend gegen Schadcode aus dem Web ausreichend abzusichern, um die Hürde gegen Eindringlinge möglichst hoch aufzustellen.
René Bader, Lead Consultant Secure Business Applications bei NTT Security Division
- Die dunkle Seite der Web-Apps
- Software-Robots finden Leaks
Lesen Sie mehr zum Thema
