tom's networking guide
 
Anzeige
Corinex vernetzt Gamer >
< Windows Vista Service Pack 1 für alle Nutzer verfügbar
19.03.08 13:14 Alter: 14 Jahre
Kategorie: Office Connectivity, Security, Sicherheit, Firewall
Von: Arno Kral

Web-Application-Firewalls gegen Online-Datendiebe

Der Schweizer Sicherheitsexperte Visonys rät, Webanwendungen wie eBay, Amazon & Co umfassender als mit Netzwerk-Firewalls und SSL-Verschlüsselung abzusichern


Visonys-Logo

Daniel Estermann

Daniel Estermann

Eschborn - Internetauktionen und Webshops bergen viele Gefahren. So sorgte jetzt eine Schlagzeile für Panik bei der eBay-Fangemeinde: Die Verbraucherinitiative "Falle Internet" fand heraus, dass das Online-Auktionshaus eBay nur unzureichend gegen Hackerattacken wie Cross-Site-Scripting (XSS)* abgesichert ist. "Doch dies ist leider kein Einzelfall. Nach Angaben von Gartner sind vier von fünf Webapplikationen angreifbar", warnt Daniel Estermann, Geschäftsführer Deutschland beim Schweizer Sicherheitsexperten Visonys. "Bei Webanwendungen reichen herkömmliche Firewalls oder Intrusion Detection-Systeme zur Absicherung einfach nicht aus. Da müssen viele Internetunternehmen nachrüsten!"

Da Hacker und Datendiebe vermehrt auf unsichere Online-Anwendungen zielen, hat die Zahl der Angriffe mittlerweile bedrohliche Ausmaße angenommen.  Estermann erläutert: "Eine leistungsstarke Web Application Firewall (WAF) kann hier Abhilfe schaffen, da sie zahlreiche Sicherheitsprobleme von Webanwendungen sowohl gezielter als auch effizienter und sicherer löst." Die Sicherung einer Webanwendung beginnt - so Visonys - bei der gezielten Auswahl von Standardkomponenten wie Web Server, Betriebssystem, Bibliotheken und Anwendungsherstellern sowie bei der guten Programmierung der Webanwendung. Das Open Web Application Security Project (OWASP) gibt hilfreiche Tipps für die Verantwortlichen von Webanwendungen und zeigt, worauf es bei der Programmierung ankommt.

Für vorausschauenden Schutz mit einem positiven Sicherheitsmodell reicht aber die vermeintlich sichere Programmierung nicht aus: Der Programm-Code der Web-Andwendung kommt viel zu spät zum Einsatz. Sobald ein Angreifer eine Schwachstelle in einer anderen Schicht ausnutzen kann, ist der Programmierer der Web-Anwendung machtlos. Im Gegensatz zum Unternehmen, das die Web-Anwendung anbietet und alle Ebenen sichern muss, reicht dem Angreifer eine Schwachstelle auf einer Ebene, um das System zu durchbrechen. Um aktuellen Bedrohungen gerecht zu werden, müsste die Web-Anwendung demnach pausenlos und immer wieder überarbeitet werden. Das ist aber weder effizient noch finanzierbar.

Vorgelagerte Sicherheitsmaßnahmen wie Web-Application-Firewalls (WAF) kümmern sich dagegen fokussiert und dediziert um die Minimierung der Risikobedrohung für Webanwendungen. Nur so bleiben diese generell und effizient über längere Zeit vor unerwünschten und bösartigen Angriffen verschont. Regelmäßige Security Assessments mit Penetration Tests und Prüfungen aller Patch-Levels sowie Konfigurationen sind trotz WAF sinnvoll und können beim Einsatz einer WAF wesentlich effizienter durchgeführt werden.

Dabei sollte darauf geachtet werden, dass nicht nur automatische Scanner, sondern auch ausgefeilte manuelle Angriffstechniken mögliche Schwachstellen aufspüren. Auf Grund der Resultate lassen sich die Vorkehrungen zur Sicherung der Webanwendung dann gezielt optimieren. So entsteht der gewünschte ganzheitliche Security-Prozess - vom Schutzbedarf über die Implementierung bis zur Verifikation.

"Durch die Kombination von vorgelagerten Sicherheitsfunktionen in einer Web Application Firewall und die ständige Applikationsentwicklung werden die Risiken für Angriffe also gering gehalten. Dies ist nicht nur für den Anbieter der jeweiligen Website, sondern auch für die vielen Millionen Internetuser extrem wichtig. Denn nur mit einem umfassenden Sicherheitsschild behält das Internet als vertrauliches und verlässliche Kommunikations-, Geschäfts- und Handelswerkzeug seine Glaubwürdigkeit", fügt Estermann hinzu.


* Beim Cross Site Scripting geht es um die Manipulation von Benutzereingaben, die an eine Web-Anwendung übergeben werden können. Durch Ausnutzung von Sicherheitslücken in der Applikation kann ein Angreifer unter anderem schädliche Programmcodes in eine für den Anwender normalerweise korrekte Umgebung einbetten. Ziel ist zumeist das Ausspähen und die Manipulation von Benutzerdaten. Eine XSS-Schwachstelle kann insbesondere in Kombination mit anderen Angriffen sehr wirkungsvoll sein – zum Beispiel lassen sich hierdurch erfolgreiche Phishing-Angriffe über den richtigen Applikationsserver abwickeln. XSS kann sogar zur vollständigen Kontrolle über die Webanwendung führen. Im Fall von eBay demonstrierte "Falle Internet" an einer Beispielauktion, dass Online-Kriminelle durch das Einbinden von Flash-Animationen in eine Artikelbeschreibung Einblick in alle Daten erhalten. Hierzu gehören persönliche Daten, sämtliche Handelsaktivitäten, alle beobachteten Artikel und auch persönliche Nachrichten.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige