Web-Anwendungen: “Je eher man Lecks entdeckt, desto billiger”

silicon.de: Warum gibt es immer mehr Attacken auf Web-Anwendungen?

Georg Heß: Das liegt unter anderem daran, dass die Netzwerkebene immer besser abgesichert wird, zum Beispiel durch Netzwerk-Firewalls oder IDS-Systeme – während in vielen Unternehmen niemand auf die Schwachstellen in den Web-Anwendungen schaut.

Dafür gibt es mehrere Gründe. Zum einen ist die IT-Sicherheit traditionell eher im Bereich Netzwerke angesiedelt, während die Web-Applikationen eher in den Bereich Anwendungsentwicklung eingeordnet werden.

Die Anwendungsentwicklung legt zudem großen Wert auf die Funktionalität und hat oft Zeit- und Budgetdruck. Aus Sicht eines Entwicklers ist die Applikation oft fertig, wenn sie funktioniert. Das war auch in Ordnung – bis vor zwei oder drei Jahren.

Insgesamt heißt das: ein Hacker hat viel größere Erfolgsaussichten, wenn er eine typische Schwachstelle in einer Web-Anwendung angreift – anstatt die Netzwerkebene zu attackieren, die seit 10 bis 15 Jahren gesichert wird.

Oft wird auch unterschätzt, wie viele Web-Anwendungen in Unternehmen installiert sind. Beim Stichwort Web-Applikationen denken viele an das Online-Banking oder Web-Shops.

Dabei sind aber auch viele Tools für das Projekt-Management Web-Anwendungen. Das heißt, wenn ein Hacker so eine Applikation angreift, dann geht er einen Weg, der die gesamte klassische Schutzlandschaft ignoriert.

silicon.de: Was sind typische Angriffsszenarien und wie häufig sind diese?

Georg Heß: Da gibt es eine Top-Ten-Liste der Initiative OWASP (Open Web Application Security Project), in der art of defence mitarbeitet. Die Liste wird regelmäßig überarbeitet. Interessant ist, dass auch ältere Angriffsmethoden wie SQL Injection und Cross Site Scripting auf der Liste immer noch weit oben stehen.

silicon.de: Wie kann man Web-Anwendungen sicherer machen?

Georg Heß: Wenn man selbst Web-Anwendungen entwickelt, kann man am Anfang beginnen und eine entsprechende Ausbildung der Entwickler fördern. Dazu gibt es auch Richtlinien des OWASP, die man individuell anpassen kann.

Allgemein gilt: Je früher die Schwachstellen entdeckt werden, desto billiger wird es. Hier setzen wir mit dem Produkt ‘hypersource’ an. Das ist ein Tool für die Analyse von Source Code, das speziell der Absicherung von Web-Anwendungen dient.

Die Software richtet sich an Entwickler und Projektleiter. Das Tool erkennt etwa automatisch, wo innerhalb eines Java-, PHP- oder Dotnet-Programms Benutzereingaben möglich sind und kontrolliert dann, ob diese Benutzereingaben vor der Weitergabe an die Datenbank geprüft werden. Das ist wichtig, um etwa SQL-Injection-Attacken abzuwehren.

silicon.de: Und was ist mit den Web-Anwendungen, deren Source Code ein Unternehmen gar nicht oder nicht schnell genug ändern kann?

Georg Heß: Hier kommt das Thema Web Application Firewall (WAF) ins Spiel. Dazu möchte ich sagen, dass sich mittlerweile einige am Ausdruck ‘Firewall’ stören – wegen der Nähe zum Begriff der Netzwerk-Firewall. Einige würden WAF daher lieber ‘Web Application Security Filter’ nennen.

Page: 1 2

Silicon-Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago