RASP: Anwendungssicherheit vom Kopf auf die Füße gestellt

IT-Experten und Festungsbauer haben mehr gemeinsam, als man vielleicht denkt. Die einen ziehen hohe Ringmauern und tiefe Wassergräben um die Burg. Die anderen errichten Firewalls, um ihre Computersysteme vor Eindringlingen zu schützen. Beide setzen also darauf, den Perimeter zu verteidigen. Im Militärwesen verlor diese Strategie an Bedeutung, als erstmals Kanonen zur Verfügung standen, die jede noch so stabile Burgmauer kurzerhand in Stücke schießen konnten. In der Informationstechnik ereilt die Perimetersicherheit möglicherweise bald ein ähnliches Schicksal.

Die Herausforderungen liegen klar auf der Hand: Im Zeitalter der Cloud und der mobilen Konnektivität verschwimmen die Grenzen zwischen den Systemen – eine lückenlose Abschirmung ist deshalb immer schwieriger umzusetzen. Die zu schützende Infrastruktur wird zudem immer weitläufiger; die Angriffsvektoren zugleich fortlaufend komplexer. Um ein Höchstmaß an Sicherheit zu gewährleisten, bedarf es deshalb neuer Strategien.

Was ist RASP?

Hinter Runtime Application Self-Protection (RASP) steckt die Idee, die Sicherheit auf Anwendungsebene zu verlagern. Anwendungen sollen gewissermaßen in die Lage versetzt werden, sich selbst zu schützen. Ein Vorgehen, das zwei wesentliche Vorteile birgt: Erstens ist die Anwendung auch dann geschützt, wenn die Perimetersicherheit nicht greift – etwa beim Deployment von verschlüsselten Verbindungen. Zweitens ist RASP in der Lage, die volle Funktionalität einer Anwendung zu überwachen.

Warum Sicherheit am Perimeter ansetzen? Das ergibt heute nur noch wenig Sinn, meint Julian Totzek-Hallhuber, Solution Architekt, Veracode. (Bild: Shutterstock)

Was das bedeutet, lässt sich am besten anhand eines typischen Angriffsvektors erläutern: der SQL-Injection. Perimetersysteme sind prinzipiell in der Lage, einen solchen Manipulationsversuch zu erkennen, können dabei aber immer nur ein einziges Kriterium heranziehen – die Beschaffenheit der Eingabedaten.

Um ein zweifelsfreies Urteil zu fällen, reicht das oft nicht aus. RASP hingegen kann nicht nur die Benutzereingaben in den Blick nehmen, sondern auch die Anwendung selbst. Die Technologie kennt sowohl die resultierende Query als auch das Ergebnis, zu dem die Ausführung der Query führen würde. Somit kann RASP wesentlich exakter zwischen Manipulationsversuchen und legitimen Datenbankzugriffen unterscheiden.

Ein weiterer Vorteil von RASP ist die Möglichkeit, Angriffe und Angriffsversuche exakter zu dokumentieren. Wann ist ein Angriff erfolgt? Welcher Angriffsvektor führte möglicherweise zum Erfolg? Welche Daten wurden kompromittiert? RASP lässt all diese Informationen an zentraler Stelle zusammenlaufen.

Die exakte Dokumentation trägt dazu bei, bestehende Schwachstellen aufzudecken und das System insgesamt sicherer zu machen. Überdies erleichtert sie das Melden von Cyberangriffen, wie es etwa im Rahmen des Bundesdatenschutzgesetzes vorgeschrieben ist. RASP kann eingesetzt werden, um in solchen Fällen die Beweiskette zu sichern.

Anwendungssicherheit vom Kopf auf die Füße gestellt

Weshalb die Anwendung am Perimeter verteidigen? In der Anfangszeit der IT-Sicherheit mag es pragmatisch gewesen sein, so zu verfahren. Die Nachteile dieses Vorgehens liegen jedoch auf der Hand. RASP agiert auf Anwendungsebene und bricht somit erstmals mit der etablierten Konvention. Man könnte auch sagen: Es stellt die Anwendungssicherheit vom Kopf auf die Füße. Indem es das Schutzschild direkt um die Anwendung legt, sorgt es für eine bessere Angriffserkennung und ermöglicht eine exaktere Dokumentation.

Vieles spricht dafür, dass RASP in den nächsten Jahren zunehmende Verbreitung finden wird. Zum Beispiel die einfache Integration: Eine Einzeilen-Änderung in den Servereinstellungen reicht aus, um es zu aktivieren. Der Programmcode der Anwendung kann unangetastet bleiben. Derzeit sind nur ein Prozent der Web- und Cloud-Anwendungen durch RASP geschützt. Bis 2020 sagen die Branchenanalysten von Gartner einen Anstieg auf ein Viertel all dieser Anwendungen voraus.

Redaktion

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

4 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

4 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

4 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

4 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

4 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

4 Jahre ago