Cloud Computing: Sichere Applikationen helfen gegen Datenklau Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.05.2011 Thomas Pelkmann*

Cloud Computing: Sichere Applikationen helfen gegen Datenklau

Bei Diskussionen um die Sicherheit in der Cloud stehen bisher primär die Netzwerke im Vordergrund. Zu Unrecht, meint HP-Manager Arved Graf von Stackelberg: Es sei dringend nötig, sich auch um die Sicherheit der Anwendungen zu kümmern.

Arved Graf von Stackelberg, Country Manager D-A-CH Fortify bei HP, weiß von einer interessanten Geschichte zu berichten, die illustriert, wie Internet-Gangster heutzutage an Geld kommen: Über eine Cross-Site-Scripting-Attacke (XSS) waren Hacker in das Computersystem einer Bank gelangt. Dort haben sie in Anwendungen, die mit Kunden kommunizieren, Code eingefügt, der Login und Passwörter abgriff. Die wurden allerdings nicht dazu genutzt, direkt an die Gelder auf den Konten zu kommen - das wäre viel zu auffällig gewesen und daher schnell bemerkt worden. Sie dienten vielmehr weiteren Hacks sowie so genannten Brute Force-Attacken.

Am Ende einer ganzen Kette von Aktionen gelang es den Angreifern schließlich, sich eines "Send Message"-Buttons zu bemächtigen. Über den wurden vermeintliche Kaufempfehlungen der Bank für eine Penny-Stock-Aktie verschickt, mit der sich die Gangster zuvor reichlich eingedeckt hatten. Durch die "Empfehlung" der Bank stieg der Wert der Aktie innerhalb kürzester Zeit so massiv, dass die Angreifer nur wenige Stunden später die Aktie mit hohem Profit verkaufen konnten. Die Bank, berichtet von Stackelberg, habe diesen Angriff erst drei Jahre später und nur durch Zufall entdeckt.

Wie lassen sich Daten und Anwendungen, auf die Mitarbeiter, Kunden und Partner über das Internet zugreifen können, sichern? Bisherige Technologien zum Schutz von Daten sind praktisch ausgereizt, meint HP-Manager von Stackelberg: "Die Investitionen in Firewalls und Antivirenprogramme sind in den vergangenen Jahren massiv gestiegen. Dennoch hat auch die Zahl der Angriffe auf Firmennetze massiv zugenommen". Traditionelle Schutzmaßnahmen seien zwar wichtig, so von Stackelberg, lösten aber das Sicherheitsproblem in der Cloud nicht.

In die Unternehmenssoftware brechen Hacker nicht über das Netz ein, sondern direkt mit Methoden wie Cross Site Scripting, SQL-Injection oder Information Leakage and Improper Error Handling - um nur drei einer ganzen Reihe von Möglichkeiten zu nennen.

SICHERUNG DER NETZE IST WEITGEHEND AUSGEREIZT Insofern empfiehlt es sich laut von Stackelberg, nicht nur auf die Netzsicherheit zu fokussieren, sondern auch die Anwendungen möglichst sicher zu machen. Die Netzsicherheit sei im Wesentlichen auf dem neusten Stand, konstatiert der HP-Manager, für Anwendungssicherheit hingegen gelte das noch lange nicht.

Auf den Servern in Unternehmen und zunehmend auch in der Cloud liegen Anwendungen, die zu einem Großteil in einer Zeit entwickelt wurden, als es noch gar keine flächendeckende Kommunikation über das Internet gab. Dabei handelt es sich zu einem guten Teil um Individualentwicklungen. Hinzu kommen Unternehmensanwendungen und Open-Source-Lösungen, die oft angepasst und weiterentwickelt wurden.

Sicherheit in der Anwendungsprogrammierung ist kein neues Thema. Im Gegenteil: Die klassischen Methoden, mit denen Hacker von außen in Anwendungen eindringen können, um sie fremdzusteuern oder zweckzuentfremden, sind bereits seit Jahren bekannt. "Aber mit Cloud Computing stellt sich das Thema neu", gibt von Stackelberg zu bedenken. "Systembedingt kommunizieren alle Anwendungen in der Cloud nach außen." Unsichere Anwendungen seien daher zunehmend das Einfallstor für Angreifer, die in den Unternehmen systematisch auf Datenklau aus seien.

Der HP-Manager empfiehlt deshalb Unternehmen, sich stärker als bisher dem Thema Applikationssicherheit zuzuwenden. "Wir hoffen, dass die Unternehmen auch an dieser Stelle aufwachen", so von Stackelberg. Ein höherer Schutz für unternehmenskritische Daten in der Cloud sei vor allem durch sichere Anwendungen gewährleistet.

HP bietet mit dem Application Security Center eine ganze Reihe von Werkzeugen und Methoden an, um den Code von Anwendungen sicherer zu machen. Grundsätzlich gilt: Je eher man mit der Code-Kontrolle beginnt, desto ist höher die Erfolgsquote, und desto niedriger sind die Kosten.

PROGRAMMFEHLER, HINTERTÜRCHEN, BEWUSSTE LÜCKEN Im Wesentlichen arbeiten die Tools beim Aufspüren von Schad- und Fehler-Code nach drei Szenarien: Sie suchen zunächst nach schlichten Programmfehlern, forschen aber auch nach (leichtsinnig) eingefügten Hintertürchen, die etwa für spätere Wartungsarbeiten offengehalten werden. Schließlich gibt es auch böswillig erzeugte Lücken, die Angreifern Tür und Tor öffnen sollen. "Insgesamt haben wir 400.000 Kategorien, nach denen wir arbeiten", erläutert von Stackelberg. "Wir schauen uns die Anwendungen an und prüfen, was man im schlimmsten Fall aus schlecht geschriebenem Code machen könnte."

Im Idealfall finden solche Source-Code-Analysen (SCA) bei der Programmierung neuen Codes oder bei Arbeiten an Release-Wechseln täglich statt, um die jeweils aktuellste Arbeit auf mögliche Fehler und Einfallstore für Angreifer zu bewerten. Die Entwickler erhalten dann Übersichten über die gefundenen Fehler und Tipps, wie sie diese Problemzonen behandeln sollen.

Rund 90 Prozent aller Schwachstellen werden bei dieser statischen Source-Code-Analyse aufgestöbert. Allerdings sind darunter auch Schwachstellen, die allenfalls theoretisch Probleme bereiten, in der Praxis aber nicht. Diese im Grunde falschen Alarme ("False Positives") werden jedoch in Kauf genommen, um zu verhindern, dass echte Probleme beim Review übersehen werden ("False Negatives").

Weitere 30 Prozent möglicher Lücken werden nach Fertigstellung des Codes bei so genannten Penetration Tests mit dem Program Trace Analyzer (PTA) und dem Real Time Analyzer (RTA) aufgespürt. Dabei probieren beide Tools im Grunde immer wieder, mit bekannten Methoden in die Anwendungen "einzubrechen". Gelingt das, wird das Wissen dazu genutzt, diese Fehler zu beheben und potenzielle Einfallstore zu verschließen.

Viele der hierbei gefundenen Fehler sind mit den Schwachstellen identisch, die schon bei der Source-Code-Analyse gefunden werden - hier gibt es rund 20 Prozent Übereinstimmung. Demnach mag es unsinnig erscheinen, fertigen Code mit PTA und RTA überhaupt noch zu überprüfen. Das ist es aber nicht: Zum einen stöbern die Tools so genannte logische Fehler auf, die bei einer statischen Analyse nicht zu erkennen sind. Zudem werden hier die vielen False Positives bewertet: Handelt es sich dabei um echte Probleme, die es zu behandeln gilt? Und schließlich sind PTA und RTA die Werkzeuge der Wahl, wenn es um die Überprüfung bereits fertiger Programme geht. "In der Regel fangen wir bei unseren Überprüfungen ja nicht bei Null an", beschreibt von Stackelberg typische Szenarien, wie HP sie in den Unternehmen vorfindet. Viele Anwendungen sind seit Jahren im Einsatz, weisen aber trotzdem Sicherheitslücken auf. Mit den Analyseprogrammen ist es möglich, auch diese Applikationen - sogar im laufenden Betrieb - auf Fehler zu prüfen, die Sicherheitsprobleme hervorrufen könnten.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr

Hosted by:    Security Monitoring by: