Sicherheit für Webapplikationen

Cyberangriffe erfolgreich abwehren

Anzeige
Webanwendungen sind Teil der internen und externen Geschäftsprozesse: von der Reisekostenabrechnung bis zum Projekt- und CRM-Management. Doch sie weisen erhebliche Sicherheitslücken auf. Riesige Mengen an Unternehmensdaten liegen dadurch ungeschützt in Datenbanken und auf Webservern. Cyberkriminelle haben leichten Zugang. Mit speziellen Schutzmechanismen lassen sich diese Lücken jedoch auffinden und schließen.

Walter Schumann, Senior Vice President Sales & Marketing, Rohde & Schwarz Cybersecurity

Hackerangriff legt RWE-Website lahm!“ „Daten von 380.000 British Airways-Kunden gestohlen!“ „Online-Banking von Hackern unterbrochen!“ Solche und ähnliche Schlagzeilen gehören längst zur Tagesordnung. Immer häufiger werden Webshops, E-Banking-Portale oder Unternehmens-Webseiten von Hackern geknackt. Für die Unternehmen bedeutet das nicht nur Umsatzverluste: Wenn Passwörter oder andere sensible Daten gestohlen wurden, führt dies meist auch zu einem immensen Imageschaden. Erst kürzlich erlebte Facebook einen solchen Cyber-GAU: Nachdem Millionen Nutzerdaten von Hackern entwendet wurden, kehrten viele Mitglieder dem sozialen Netzwerk den Rücken und löschten ihren Account.

Tor zu neuen Geschäftsmodellen

Die meisten Angriffe auf Webanwendungen verlaufen weit weniger spektakulär. Völlig unbemerkt von der Öffentlichkeit, verlieren Unternehmen dadurch tagtäglich hochsensible Daten an Dritte. Denn Webanwendungen sind in einer stetig wachsenden Zahl von Unternehmen Teil der internen und externen Geschäftsprozesse. Hinzu kommen Webdienste, die als Backend für Mobilgeräte dienen und die Kommunikation zwischen Maschinen ermöglichen.

Gegenüber herkömmlichen Desktoplösungen haben Webanwendungen immense Vorteile: Programme müssen nicht auf den Rechnern der einzelnen Mitarbeiter installiert und ausgeführt werden. Stattdessen liegen sie auf einem zentralen Webserver ab und werden dort gepflegt und aktualisiert. Der Zugang zu den Webanwendungen läuft über den Browser. Die Programme können also jederzeit von überall und von jedem Gerät aus genutzt werden. Webanwendungen sind zudem das Tor zu neuen Geschäftsmodellen, wie E-Banking, Online-Shops oder Kommunikation zwischen Maschinen in einer Industrie 4.0-Umgebung.

Anfällig für Sicherheitslücken

Das Problem: Webanwendungen sind für Hacker leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurden nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Vor allem sehr komplexe Anwendungen sind anfällig für Sicherheitslücken.

Das gilt aber auch für „08/15“-Shopping-Software. Aus Kostengründen wird die IT-Sicherheit hier oft vernachlässigt. Erst ein nachträglich installierter Patch kann die Lücke schließen. Vorausgesetzt, der Entwickler existiert noch und stellt es zeitnah zur Verfügung. Mit jeder Erweiterung geht das Risiko allerdings wieder von vorne los.

Cyberkriminelle nutzen diese Sicherheitslücken gnadenlos aus. Sie fügen beispielsweise schadhafte Skripte ein, um Passwörter aufzuzeichnen. Mit einer sogenannten „Cross Site Scripting“-Methode wurde auch das Buchungssystem von British Airways attackiert und Daten von Hunderttausenden Kunden entwendet. Datenbanken zählen zu den beliebtesten Angriffszielen von Hackern. Denn sie halten große Mengen wertvoller Information in konzentrierter Form bereit. Einen einfachen Zugang erhalten Angreifer über Fehler in der Datenbanksprache SQL. Durch das Einschleusen einer SQL-Anweisung (SQL-Injection) können Hacker Befehle direkt an die dahinterliegende Datenbank senden und Zugriff auf die Daten gewinnen.

Netzwerk-Firewall ist machtlos

Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, solche Angriffe zu stoppen. Zwar stellen Firewalls sowie Intrusion-Detection- oder Prevention-Systeme meist die erste Verteidigungslinie im Unternehmen gegen Cyberangriffe aus dem Internet dar. Daher sollten sie beim Sicherheitskonzept auf keinen Fall fehlen. Doch gegen Angriffe, die darauf abzielen, Internetdienste zu blockieren oder zum Ausfall zu bringen, helfen sie kaum.

Bei sogenannten DDoS-Angriffen ist sogar die Netzwerk-Firewall selbst im Visier des Angriffs: Dabei nutzen die Kriminellen gekaperte Rechner, Geräte und Netzwerke, um massive Anfragen an das Netzwerk zu stellen. Die Flut eingehender Nachrichten erzwingt eine Abschaltung des Systems und somit auch aller über dieses System bereitgestellten Dienste.

Spezielle Schutzmechanismen

Mit speziellen Schutzmechanismen lassen sich die Gefahren auf Webebene minimieren:

  • Kern dieses Sicherheitssystems ist eine „Web Application Firewall“ (WAF). Eine WAF analysiert den Datenaustausch zwischen Clients und Webservern. Sie prüft alle eingehenden Anfragen an den Webserver sowie dessen Antworten. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die bspw. durch sogenannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hijacking“ und andere Arten von Webangriffen ausgeführt werden.
  • Eine WAF kann auch DDoS-Angriffe stoppen. Dazu nutzt sie ein sogenanntes Scoring-Modell. Nimmt man als Schwellenwert z.B. die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen.
  • Vulnerability Scanning: Da jede Webanwendung Sicherheitslücken aufweisen kann, sollte sie regelmäßig auf Schwachstellen geprüft werden. Vor allem dann, wenn sie eine firmeneigene Entwicklung ist. Dann lässt sich ein Patch entsprechend nachentwickeln. Bei externen Anwendungen von SAP, Microsoft oder Oracle ist man darauf angewiesen, dass ein Patch zur Verfügung gestellt wird. Moderne WAFs haben einen integrierten Vulnerability Scanner. Wichtig: Eine Anwendung ist nur bei selbst entwickelten und gekauften Webanwendungen erlaubt.
  • Für noch mehr Sicherheit sorgt ein „Virtual Patching“: Wird eine Schwachstelle gefunden, sendet der Vulnerability Scanner einen Bericht zur Web Application Firewall. Diese behebt die Schwachstelle mittels eines virtuellen Patch auf Application Firewall-Ebene. Von der Identifikation bis zur Behebung vergehen bei diesem Prozess lediglich wenige Stunden. Der virtuelle Patch dient als Überbrückung bis ein Patch zur Verfügung steht – er kann aber auch dauerhaft genutzt werden.
  • Unternehmen, die eigene Webapplikationen entwickeln, können den Vulnerability Scanner auch während der Entwicklung einsetzen. Auf diese Weise erhalten sie direkt Feedback und können die Ergebnisse entsprechend berücksichtigen, um Sicherheitslücken von vornherein zu umgehen.
  • Es empfiehlt sich, eine Testumgebung für die Webapplikation einzurichten. In dieser Testumgebung sollte auch der Vulnerability Scan laufen und auch neue Patches sollten hier zunächst aufgespielt werden. Auf diese Weise ist sichergestellt, dass die reale Anwendung keinen Schaden nimmt.

Fazit

Mit dem Siegeszug der Webanwendungen ergeben sich völlig neue Herausforderungen für Unternehmen bei der IT-Sicherheit. Vor allem die riesigen Mengen persönlicher Daten, die in Website-Datenbanken lagern, sind eine kostbare Beute für Hacker und organisierte Kriminelle. Mit einem speziellen Sicherheitssystem für Webapplikationen können Unternehmen sich entsprechend schützen.

www.rohde-schwarz.com/cybersecurity

Anzeige

Aktuelle Ausgabe

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Webinare & Webcasts

Technisches Wissen aus erster Hand.

Whitepaper

Hier finden Sie aktuelle Whitepaper.

Videos

Hier finden Sie alle aktuellen Videos.

productronica

Umfassende Informationen rund um productronica 2017.

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de