Web-Anwendungen: “Je eher man Lecks entdeckt, desto billiger”

Abgesehen davon – der Zweck einer WAF ist es, das Kommunikationsprofil einer Web-Anwendung so zu beschreiben, dass nur die Objekte die WAF passieren können, die wirklich zu der Web-Anwendung dahinter gehören.

Das kann man etwa machen, in dem man Black Lists und White Lists kombiniert. Das heißt: ein Unternehmen kann die Web-Anwendung sichern, ohne an der Web-Applikation selbst etwas zu tun.

silicon.de: Weltweit gibt es 10 bis 15 WAF-Anbieter. Was unterscheidet Ihre Lösungen von denen der Mitbewerber?

Georg Heß: Unser Produkt ‘hyperguard’ ist ein Add-on, das mit bestehenden Lösungen eingesetzt werden kann. Die Unterschiede liegen im Wesentlichen darin, wie Funktionen vorgeschlagen werden oder wie gut Lernalgorithmen funktionieren.

Wir bieten auch Lernalgorithmen an – stellen aber fest, dass diese bei den Kunden im deutschsprachigen Raum auf Skepsis stoßen. Gerade in größeren Infrastrukturen gibt es genaue Regeln dafür, wer etwa an der Netzwerk-Firewall etwas ändern darf.

Da passt eine WAF, die wie eine Black Box arbeitet, nicht ins Bild. Die Kunden wollen von der WAF eher Regelvorschläge, die dann von einem Mitarbeiter aktiviert werden.

silicon.de: Sie schlagen ja auch vor, die Position eines Web-Anwendungs-Verantwortlichen einzuführen…

Georg Heß: Ja, das ist auch eine Empfehlung des OWASP. In einigen großen Firmen gibt es das schon. Ein Verantwortlicher für die Sicherheit des klassischen Netzwerks kennt nicht unbedingt die Funktionen des Online-Shops.

Diese Person pflegt im Idealfall das Regelwerk, mit der eine oder mehrere Web-Anwendungen gesichert werden – und hat zudem Kontakt zum Verantwortlichen für die IT-Sicherheit sowie zu der Fachabteilung, die die Funktionalität der Web-Anwendung definiert.