Digitale Transformation

4 klassische Denkfehler beim Thema Web Application Security

Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.

23.02.2017

Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.

Gerade Webapplikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Das ist kein Wunder, da diese Anwendungen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nur die Daten der Webapplikation selber in Gefahr sind. Allerdings sind alle an die Anwendung angeschlossenen Systeme und Schnittstellen potenziell ebenfalls betroffen. Wirksamen Schutz gegen unerlaubte Datenzugriffe bieten Web Application Firewalls (WAFs) zwischen Anwender und Webanwendung, die nur gültige URLs zulassen und somit Backend-Systeme vor illegalem Zugriff schützen.

Annahme 2: Die Sicherheit von Webanwendungen muss schon bei der Entwicklung sichergestellt werden.

Natürlich lassen Applikationsentwickler Sicherheitsaspekte in die Entwicklung einfließen. Im späteren Einsatz ist die Anwendung ein Bestandteil einer komplexeren IT-Landschaft, auf die der Entwickler keinen Einfluss mehr hat. Hinzu kommt, dass Entwickler auch nur die Risiken berücksichtigen können, die zum Zeitpunkt der Entwicklung bekannt sind.

Zwar schaffen Software-Updates und neue Applikationsversionen Abhilfe, doch lassen sich die Sicherheitsvorkehrungen oft nicht schnell genug nachrüsten. Um schnell und sicher auf unvermittelte Bedrohungen reagieren zu können, sollten daher vorinstallierte Sicherheitsmaßnahmen der Webapplikationen mit einer vorgelagerten WAF kombiniert werden. Leider werden häufig sinnvolle Maßnahmen in der Applikationsentwicklung und der Einsatz einer WAF gegeneinander ausgespielt. Unternehmen müssen aber erkennen, dass nur die Kombination aus beidem zu effektivem und effizientem Schutz führt.

Lösungen

Annahme 3: Wir verschlüsseln den gesamten Datenverkehr mit SSL (HTTPS) und das reicht.

Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Webbrowser und dem Server, nicht die Absicherung des Servers selbst. Auch Hacker nutzen diesen Schutz. So gelangen ihre Angriffe über diesen Weg "sicher" und verschlüsselt bis zum Firmen-Webserver. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden – leistungsfähige WAFs verschaffen an diesem Punkt die nötige Kontrolle.

Annahme 4: Unsere Systeme sind immer aktuell gepatcht und wir lassen regelmäßig einen automatischen Scanner laufen, da ist alles auf Grün.

Automatische Scanner liefern einen Überblick über Schwachstellen in einer Unternehmens-IT – die meisten Angriffe auf Webapplikationen erkennen sie jedoch nicht. Trotz eines positiven Scan-Ergebnisses können Hacker unbemerkt in die Webapplikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetrationstest durchzuführen.

Digitale Transformation E-Commerce RSS Feed abonnieren