Sicherheitsbedrohungen, die der Einsatz von Web-Applikationen für Firmen mit sich bringen kann, ermittelt IBMs »Rational-Appscan-Express-Edition«-Software. Das Programmpaket berücksichtigt Gefahren durch Angreifer von außen und fahrlässige Mitarbeiter.

Nach Angaben von IBMs Sicherheitssparte ISS kamen in der ersten Jahreshälfte 54 Prozent aller Sicherheitsbedrohungen für Firmennetze aus dem Web. Geradezu klassisch sind mittlerweile Angriffe mithilfe von Schadcode, den Angreifer auf renommierten Web-Sites platzieren, die sie gehackt haben.

Solchen und anderen Attacken, die mithilfe von Web-Anwendungen auf Firmennetze gestartet werden, soll Rational Appscan Express Edition von IBM einen Riegel vorschieben. Die Software ist ein Test-Tool, das nach Angaben des Anbieters vor allem auf mittelständische Firmen zugeschnitten ist.

Es prüft vorhandene Web-Anwendungen auf alle bekannten Sicherheitslücken hin, darunter SQL-Injection, Cross-Site-Scripting und Buffer-Overflow-Schwachstellen. Rational Appscan nimmt speziell Web-2.0- und Ajax-Applikationen unter die Lupe.

Vorschläge für das Stopfen von Löchern

Die Analysesoftware ermittelt nicht nur »Löcher«, sondern gibt liefert auch Hinweise, wie diese gestopft werden können. Integriert sind rund 40 Vorlagen für Compliance-Reports. Anwender können damit Berichte gemäß des PCI-Data-Security-Standards, ISO 17799, ISO 27001, Basel II, SB 1386 sowie PABP (Payment Application Best Practices) ausgeben lassen.

In den kommenden Jahren erwartet IBM-ISS eine starke Zunahme der Angriffe auf Corporate Networks mithilfe von Web-Anwendungen. Dazu tragen Ansätze wie »Software as a Service« bei, also Web-gestützte Online-Applikationen.

Rational Appscan Express läuft Windows-Systemen ab Version 2000. Zudem müssen Microsofts NET-Framework (ab 2.0) und Java-Runtime-Environment (ab 5.0) installiert sein.