Angriffsschutz für Webapplikationen

Angriffsschutz für Webapplikationen

6. April 2014 - Von Martin Altorfer und Marc Chauvin

Web Application Firewalls haben heute ihren festen Platz in der IT-Architektur, obwohl die Evaluation nicht so einfach und die Anschaffung mit einigen Kosten verbunden ist.
Artikel erschienen in IT Magazine 2014/04
Bei neu zu entwickelnden Webanwendungen stellt sich die Situation nicht viel besser dar. Es gibt keine Software, die jemals auf Anhieb fehlerfrei oder ohne Schwachstellen in den Produktivbetrieb gegangen wäre. Vielfach werden die Mängel erst dann festgestellt. Zu diesem Zeitpunkt ist die Fehlerbeseitigung wieder zeitaufwendig und teuer. Zudem kann die Anwendung in diesem Zeitraum nicht deaktiviert werden, wenn sie als Umsatzträger oder Teil eines wichtigen Geschäftsprozesses agiert. Trotzdem besitzt die Notwendigkeit einer möglichst guten Programmierung, die Effektivität, Funktionalität und Sicherheit sinnvoll vereint, weiterhin oberste Priorität. Je sicherer eine Webanwendung geschrieben ist, desto geringer fallen die Nachbesserungsarbeiten aus und desto weniger komplex gestalten sich die zu ergreifenden zusätzlichen Sicherungsmassnahmen.

Der zweite Ansatz ist der Einsatz einer Web Application Firewall (WAF). Gemäss Untersuchungen von NT Objectives und Whitehat Security lassen sich zwischen 60 und 80 Prozent der identifizierten Schwachstellen in Webanwendungen bereits durch eine WAF ohne spezielle Konfiguration (also im Blacklist-Modus) beseitigen. Zudem lassen sich neu entdeckte Sicherheitslücken mit einer WAF in vielen Fällen wesentlich schneller und günstiger beheben als eine Änderung an der eigentlichen Anwendung. Sichere Programmierung und WAFs ergänzen sich: Analog zum Flugverkehr ist es wichtig, dass das Flugzeug, also die Applikation selbst, gut gewartet und sicher ist. Aber selbst das perfekte Flugzeug ersetzt niemals die
Sicherheitsschleuse am Flughafen, also die Web Application Firewall, die als erste Sicherheitsschicht schon einmal die Risiken eines Angriffs auf das Verkehrsmittel beziehungsweise die Applikation erheblich minimiert.

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER