Die Technologie Runtime Application Self-Protection (RASP) versetzt Anwendungen in die Lage, sich selbst zu schützen. silicon.de-Blogger Julian Totzek-Hallhuber erläutert die Vorteile im Vergleich zu konventionellen Konzepten der IT-Sicherheit.
IT-Experten und Festungsbauer haben mehr gemeinsam, als man vielleicht denkt. Die einen ziehen hohe Ringmauern und tiefe Wassergräben um die Burg. Die anderen errichten Firewalls, um ihre Computersysteme vor Eindringlingen zu schützen. Beide setzen also darauf, den Perimeter zu verteidigen. Im Militärwesen verlor diese Strategie an Bedeutung, als erstmals Kanonen zur Verfügung standen, die jede noch so stabile Burgmauer kurzerhand in Stücke schießen konnten. In der Informationstechnik ereilt die Perimetersicherheit möglicherweise bald ein ähnliches Schicksal.
Die Herausforderungen liegen klar auf der Hand: Im Zeitalter der Cloud und der mobilen Konnektivität verschwimmen die Grenzen zwischen den Systemen – eine lückenlose Abschirmung ist deshalb immer schwieriger umzusetzen. Die zu schützende Infrastruktur wird zudem immer weitläufiger; die Angriffsvektoren zugleich fortlaufend komplexer. Um ein Höchstmaß an Sicherheit zu gewährleisten, bedarf es deshalb neuer Strategien.
Was ist RASP?
Hinter Runtime Application Self-Protection (RASP) steckt die Idee, die Sicherheit auf Anwendungsebene zu verlagern. Anwendungen sollen gewissermaßen in die Lage versetzt werden, sich selbst zu schützen. Ein Vorgehen, das zwei wesentliche Vorteile birgt: Erstens ist die Anwendung auch dann geschützt, wenn die Perimetersicherheit nicht greift – etwa beim Deployment von verschlüsselten Verbindungen. Zweitens ist RASP in der Lage, die volle Funktionalität einer Anwendung zu überwachen.
Was das bedeutet, lässt sich am besten anhand eines typischen Angriffsvektors erläutern: der SQL-Injection. Perimetersysteme sind prinzipiell in der Lage, einen solchen Manipulationsversuch zu erkennen, können dabei aber immer nur ein einziges Kriterium heranziehen – die Beschaffenheit der Eingabedaten.
Um ein zweifelsfreies Urteil zu fällen, reicht das oft nicht aus. RASP hingegen kann nicht nur die Benutzereingaben in den Blick nehmen, sondern auch die Anwendung selbst. Die Technologie kennt sowohl die resultierende Query als auch das Ergebnis, zu dem die Ausführung der Query führen würde. Somit kann RASP wesentlich exakter zwischen Manipulationsversuchen und legitimen Datenbankzugriffen unterscheiden.
Ein weiterer Vorteil von RASP ist die Möglichkeit, Angriffe und Angriffsversuche exakter zu dokumentieren. Wann ist ein Angriff erfolgt? Welcher Angriffsvektor führte möglicherweise zum Erfolg? Welche Daten wurden kompromittiert? RASP lässt all diese Informationen an zentraler Stelle zusammenlaufen.
Die exakte Dokumentation trägt dazu bei, bestehende Schwachstellen aufzudecken und das System insgesamt sicherer zu machen. Überdies erleichtert sie das Melden von Cyberangriffen, wie es etwa im Rahmen des Bundesdatenschutzgesetzes vorgeschrieben ist. RASP kann eingesetzt werden, um in solchen Fällen die Beweiskette zu sichern.
Anwendungssicherheit vom Kopf auf die Füße gestellt
Weshalb die Anwendung am Perimeter verteidigen? In der Anfangszeit der IT-Sicherheit mag es pragmatisch gewesen sein, so zu verfahren. Die Nachteile dieses Vorgehens liegen jedoch auf der Hand. RASP agiert auf Anwendungsebene und bricht somit erstmals mit der etablierten Konvention. Man könnte auch sagen: Es stellt die Anwendungssicherheit vom Kopf auf die Füße. Indem es das Schutzschild direkt um die Anwendung legt, sorgt es für eine bessere Angriffserkennung und ermöglicht eine exaktere Dokumentation.
Vieles spricht dafür, dass RASP in den nächsten Jahren zunehmende Verbreitung finden wird. Zum Beispiel die einfache Integration: Eine Einzeilen-Änderung in den Servereinstellungen reicht aus, um es zu aktivieren. Der Programmcode der Anwendung kann unangetastet bleiben. Derzeit sind nur ein Prozent der Web- und Cloud-Anwendungen durch RASP geschützt. Bis 2020 sagen die Branchenanalysten von Gartner einen Anstieg auf ein Viertel all dieser Anwendungen voraus.