Best Practices für Web Application Firewalls
Die deutsche Sektion des ‘Open Web Application Security Project’ (OWASP German Chapter) hat den ‘Best Practices Guide zum Einsatz von Web Application Firewalls’ veröffentlicht. Die OWASP ist eine internationale Community für die Sicherheit von Webanwendungen. Die deutsche Gruppe will das Fachwissen in diesem Bereich hierzulande stärken.
Die Autoren des Guides sind nach Angaben des OWASP Mitarbeiter in Firmen, die zum Einsatz und Betrieb von Web Application Firewalls (WAFs) beraten, WAFs einsetzen oder WAFs herstellen.
Die 22-seitige Veröffentlichung richtet sich vor allem an technische Entscheider – Betriebsverantwortliche, Sicherheitsverantwortliche und Anwendungsverantwortliche, die den Einsatz einer WAF im Unternehmen evaluieren. Ein spezielles Augenmerk wurde auf die Darstellung von Aufwandsabschätzungen gelegt – auch im Vergleich zu möglichen Alternativen wie beispielsweise Anpassungen im Source Code.
Weitere Schwerpunkte sind Best Practices für die organisatorischen Abläufe bei Installation und Betrieb einer WAF sowie – besonders für größere Unternehmen relevant – eine Erweiterung der Organisation um die Rolle eines ‘Anwendungsverantwortlichen WAF’. Der Guide kann kostenlos aus dem Netz geladen werden.
Besondere Relevanz bekomme das Dokument im Hinblick auf die Einführung des Datensicherheitsstandards der Kreditkartenindustrie (PCI DSS v1.1 2007), hieß es von der OWASP. Dieser schreibe das Vorhandensein einer WAF in bestimmten Fällen vor.
Auch kürzlich bekannt gewordene Einbrüche im Web – zum Beispiel der Verlust von 70.000 Kundendaten inklusive Kreditkarteninformationen bei kartenhaus.de – unterstreiche, dass Webanwendungen abgesichert werden müssten.