Sichere Web-Apps dank WAF

Sichere Web-Apps dank WAF

7. September 2009 - Der Einsatz von Web-Applikationen ist aus den meisten Unternehmen nicht mehr wegzudenken. Um die Sicherheit derselben ist es aber oftmals schlecht bestellt.
Artikel erschienen in IT Magazine 2009/09

Anders als bei statischen Web-Auftritten, die primär der einseitigen Informationsvermittlung dienen, unterstützen Webapplikationen die Interaktion zwischen ihren Benutzern. Neben dem bekannten Einsatz im Bereich E-Banking, im E-Commerce-Umfeld oder als Content Management System (CMS) findet man webbasierte Lösungen auch im Bereich SaaS (Software as a Service). Sämtliche Web-Applikationen bestehen aus drei Komponenten: dem eigentlichen Webserver (Presentation Tier oder auch Frontend genannt), dem Applikations-Server (Application Tier) und einer Datenbank (Data Tier). Diese drei Komponenten können kombiniert auf einem Server oder – wie in der Praxis verbreitet – verteilt auf einzelnen Servern beziehungsweise virtuellen Systemen laufen. Der Webserver ist die exponierte Komponente, die über das Internet oder das Intranet für alle Benutzer erreichbar sein muss und von potentiellen Angreifern erreicht werden kann. Die Angriffsziele sind einerseits die Web-Applikation selbst und die damit verbundenen Unternehmensdaten, andererseits aber auch die Benutzer, die mit diesen vertraulichen Daten arbeiten.



Hohe Anforderungen, tiefer Schutzlevel

Die IT-Verantwortlichen eines Unternehmens sehen sich beim Einsatz von Web-Applikationen mit sehr hohen Sicherheitsanforderungen konfrontiert. Der Schutz dieser speziellen Programme nimmt aufgrund ihrer rasanten Verbreitung einen immer grösseren Stellenwert ein. In der Praxis – dies belegen zahlreiche neue Studien – sieht dies noch anders aus: danach ist nur eine von vier Web-Applikationen am Markt ausreichend vor Angriffen geschützt. Wie aber schützt man Web-Applikationen optimal? Die klassische Firewall jedenfalls bietet keinen ausreichenden Schutz.

Zwei Sicherheitsstrategien haben sich beim Einsatz von Web-Applikationen bewährt. Zum einen kann die Web-Applikation selbst mit allen wichtigen Sicherheitsmechanismen zum Schutz vor Angriffen ausgestattet sein. Zu diesen Sicherheitsmechanismen zählen etwa die genaue Überprüfung der Benutzereingaben beziehungsweise der vom Benutzer erhaltenen Daten zum Schutz vor SQL-Injection und Buffer Overflow oder auch die Verhinderung von Cross Site Scripting (XSS). Wichtig ist auch die fehlerfreie Implementierung der sicheren Authentisierung und des Session Handling. Das alles setzt ein sehr spezielles Know-how voraus und führt meist zu langen Entwicklungszeiten und hohen Investitionskosten. Hinzu kommen erfahrungsgemäss Probleme bei der Absicherung zugekaufter Komponenten – vielfach ist dies gar nicht möglich.

 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER