Web-Anwendungen: “Je eher man Lecks entdeckt, desto billiger”

silicon.de: Warum gibt es immer mehr Attacken auf Web-Anwendungen?

Georg Heß: Das liegt unter anderem daran, dass die Netzwerkebene immer besser abgesichert wird, zum Beispiel durch Netzwerk-Firewalls oder IDS-Systeme – während in vielen Unternehmen niemand auf die Schwachstellen in den Web-Anwendungen schaut.

Dafür gibt es mehrere Gründe. Zum einen ist die IT-Sicherheit traditionell eher im Bereich Netzwerke angesiedelt, während die Web-Applikationen eher in den Bereich Anwendungsentwicklung eingeordnet werden.

Die Anwendungsentwicklung legt zudem großen Wert auf die Funktionalität und hat oft Zeit- und Budgetdruck. Aus Sicht eines Entwicklers ist die Applikation oft fertig, wenn sie funktioniert. Das war auch in Ordnung – bis vor zwei oder drei Jahren.

Insgesamt heißt das: ein Hacker hat viel größere Erfolgsaussichten, wenn er eine typische Schwachstelle in einer Web-Anwendung angreift – anstatt die Netzwerkebene zu attackieren, die seit 10 bis 15 Jahren gesichert wird.

Oft wird auch unterschätzt, wie viele Web-Anwendungen in Unternehmen installiert sind. Beim Stichwort Web-Applikationen denken viele an das Online-Banking oder Web-Shops.

Dabei sind aber auch viele Tools für das Projekt-Management Web-Anwendungen. Das heißt, wenn ein Hacker so eine Applikation angreift, dann geht er einen Weg, der die gesamte klassische Schutzlandschaft ignoriert.

silicon.de: Was sind typische Angriffsszenarien und wie häufig sind diese?

Georg Heß: Da gibt es eine Top-Ten-Liste der Initiative OWASP (Open Web Application Security Project), in der art of defence mitarbeitet. Die Liste wird regelmäßig überarbeitet. Interessant ist, dass auch ältere Angriffsmethoden wie SQL Injection und Cross Site Scripting auf der Liste immer noch weit oben stehen.

silicon.de: Wie kann man Web-Anwendungen sicherer machen?

Georg Heß: Wenn man selbst Web-Anwendungen entwickelt, kann man am Anfang beginnen und eine entsprechende Ausbildung der Entwickler fördern. Dazu gibt es auch Richtlinien des OWASP, die man individuell anpassen kann.

Allgemein gilt: Je früher die Schwachstellen entdeckt werden, desto billiger wird es. Hier setzen wir mit dem Produkt ‘hypersource’ an. Das ist ein Tool für die Analyse von Source Code, das speziell der Absicherung von Web-Anwendungen dient.

Die Software richtet sich an Entwickler und Projektleiter. Das Tool erkennt etwa automatisch, wo innerhalb eines Java-, PHP- oder Dotnet-Programms Benutzereingaben möglich sind und kontrolliert dann, ob diese Benutzereingaben vor der Weitergabe an die Datenbank geprüft werden. Das ist wichtig, um etwa SQL-Injection-Attacken abzuwehren.

silicon.de: Und was ist mit den Web-Anwendungen, deren Source Code ein Unternehmen gar nicht oder nicht schnell genug ändern kann?

Georg Heß: Hier kommt das Thema Web Application Firewall (WAF) ins Spiel. Dazu möchte ich sagen, dass sich mittlerweile einige am Ausdruck ‘Firewall’ stören – wegen der Nähe zum Begriff der Netzwerk-Firewall. Einige würden WAF daher lieber ‘Web Application Security Filter’ nennen.