Sicherheit fürs E-Business

Sicherheit fürs E-Business

20. Juni 2008 - Webanwendungen haben oft gravierende Schwachstellen. Eine Web Application Firewall schützt die Systeme vor kriminellen Hackern.
Artikel erschienen in IT Magazine 2008/12

Laut den Statistiken des FBI setzen in den USA 97 Prozent der Unternehmen eine Virenschutzlösung ein, 98 Prozent schützen ihr internes Netzwerk mit einer konventionellen Firewall, und 69 Prozent betreiben ergänzend ein Intrusion-Detection-System. Dennoch konnten Hacker auf 32 Prozent der Firmennetze unautorisiert zugreifen, und 15 Prozent der Unternehmen klagen über weitergehende unautorisierte Eingriffe.


Rund vier Fünftel aller Attacken erfolgen heute übers Web: Betroffen sind neben herkömmlichen Informations-Websites zunehmend Webanwendungen vom Content-Management-System über Online-Shops bis zu E-Banking und anderen Anwendungen, die eigentlich schon von Haus aus durch allerlei Sicherheitsmechanismen wie starke Authentifizierung abgesichert sind.



Web Application Firewalls von 16 Herstellern


E-Business ist gefährlich

Für die zunehmende Tragweite von Web-basierten Hackerangriffen sind drei Faktoren mitverantwortlich:



- Die konventionellen Netzwerk-Firewalls, Reverse-Proxies und Intrusion-Detection-Systeme kümmern mit Blick auf das Schichtenmodell der Internetkommunikation sehr effizient um die unteren Ebenen mit den Protokollen IP, TCP und HTTP.
Webanwendungen nutzen diese Transportschichten als Vehikel für ihre Business-Logik: Via HTTP werden neben den im Browser angezeigten Inhalten allerlei Parameter und Befehle übertragen. Diese programmlogischen Inhalte werden von den herkömmlichen Sicherheitssystemen nicht oder nur am Rande berücksichtigt.



Oft ist die Kommunikation zudem SSL-verschlüsselt. Dies sichert zwar vor unbefugtem Abhören auf der Strecke zwischen Browser und Webserver. Im gängigen Szenario, bei dem der HTTPS-Stream erst auf dem Webserver selbst entschlüsselt wird, wird die Inspektion durch die vorgelagerten Firewalls und Intrusion-Detection-Systeme dadurch aber vom Prinzip her verunmöglicht. Gute Sicherheit für Webanwendungen bietet nur eine Lösung, die den Datenverkehr bereits vor dem Webserver entschlüsselt (SSL-Termination) und konsequent auf illegitime Aktivitäten hinüberprüft.



Auch die Benutzerauthentifizierung erfolgt mit Vorteil bereits vor dem Webserver oder gar den einzelnen Applikationsservern: Eine spezialisierte Lösung zur Absicherung von Webanwendungen, genannt Web ApplicationFirewall (WAF), sollte durch vorgelagerte Authentifizierung dafür sorgen, dass garantiert nur autorisierte User auf die dahinterliegenden Anwendungen zugreifen können. Die WAF greift dazu selbstverständlich auf die bestehenden Directory- und Single-Sign-on-Systeme zurück.



- Webanwendungen werden kaum noch isoliert betrieben, sie sind immer öfter direkt mit produktiven Backend-Systemen wie dem ERP und CRM verbunden. Ist ein Angreifer erst einmal ins Netz eingedrungen, sind auch diese dahinterliegenden Systeme gefährdet. Da in nahezu allen Systemen immer wieder neue Schwachstellen auftauchen und zum Teil viel Zeit vergeht, bis die Hersteller einen Patch liefern, genügt der gängige Vulnerability-Check auf bekannte Sicherheitsprobleme nicht.



Eine effiziente WAF analysiert statt dessen proaktiv das legitime Kommunikationsverhalten jeder einzelnen Webanwendung und wehrt dann alle als nicht normal erkannten Zugriffe ab (HTTP-Filtering). «False Positives», also fälschlich als illegitim markierter Verkehr, sollte dabei wie bei der Spam-Abwehr möglichst vermieden werden.



- Gaben sich Hacker früher mit dem szeneninternen Renommee nach einem gelungenen Angriff zufrieden, stehen hinter den Aktivitäten der Eindringlinge heute meist handfeste kriminelle Interessen von Industriespionage über Erpressung bis zum Klau von Banking- und Kreditkartendaten zwecks unmittelbarer Bereicherung. Wenn ein Angriff gelingt, sind die Folgen also massiv gravierender.



Blosser Datendiebstahl wird zudem im Gegensatz zu manipulierten oder gefälschten Transak­tionen auch im nachhinein oft gar nicht entdeckt – eine Web Application Firewall muss auch solche Versuche erkennen und abblocken.

 
Seite 1 von 2

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER