256935

Firewalls für Web-Anwendungen

16.09.2009 | 10:20 Uhr |

Internet-Anwendungen verlangen eine spezielle Art von Schutzmaßnahmen. Diese können ihnen am besten Web Application Firewalls (WAFs) liefern. Sie setzen dort an, wo die Interaktion stattfindet: auf der Anwendungsebene.

Das Thema Sicherheit ist in den letzten Jahren immer weiter nach oben auf der Agenda der IT-Leiter gestiegen. Das betrifft auch die Sicherheit der Internet-Infrastruktur eines Unternehmens. Trotzdem werden immer noch viele Websites und Web-Anwendungen Opfer von Cyber-Kriminellen – in letzter Zeit sogar immer häufiger. Die Schlagzeilen dazu lieferten sowohl spektakuläre Datendiebstähle in den USA als auch Einbrüche hierzulande. Beispielsweise wurden beim Hamburger Tickethändler Kartenhaus.de letzten Oktober über einen digitalen Einbruch 66.000 Kreditkartennummern und Adressen von Kunden des Unternehmens entwendet.

Konventionelle Abwehrmaßnahmen reichen oft nicht aus, um die Angriffe aus dem Web zu parieren. Dabei wurde in den letzten Jahren klar, dass die Infrastruktur allein nicht in der Lage ist, den notwendigen Schutz zu bieten. Grund dafür ist die Art der Anwendung, die im Mittelpunkt steht: Eine stark interaktive und nach außen gerichtete Internet-Applikation muss ihren Nutzern eine andere Art Zugang auf ihre Funktionalität anbieten. Dieser kann allerdings auch von Hackern über Methoden wie Cross-Site-Scripting, SQL-Injection oder Session-Hijacking dazu genutzt werden, die Software zu kompromittieren. Die Absicherung der Transportschichten über Netz-Firewalls und Intrusion-Detection/Prevention-Systeme (IDS/IPS) greift hier oft zu kurz.

Mit verantwortlich für die Schwächen von Web-Applikationen ist nach Expertenansicht das HTTP-Protokoll, das nicht für derlei Anforderungen entworfen wurde. So müssen z.B. aufgrund des im Kern zustandslosen Übertragungsprotokolls Sessions bzw. Zustände der Anwendungen eigens definiert und sicher implementiert werden. Zusätzliche Angriffsflächen, so die mit dem Thema Web Application Security (WAS) befasste Non-Profit-Community " Open Web Application Security Project " (Owasp), entstehen durch die Komplexität oft verwendeter Web-Script-Sprachen, Application-Frameworks und Web-Techniken.

0 Kommentare zu diesem Artikel
256935