Angreifer haben Web-Applikationen als vorrangiges Ziel entdeckt Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.08.2009 Edmund E. Lindau

Angreifer haben Web-Applikationen als vorrangiges Ziel entdeckt

Der Schutz von Web-Applikationen gehört zu einem der wichtigsten Bereiche für Unternehmen.

Web-Applikationen sind aus dem heutigen vernetzten Leben nicht mehr wegzudenken: Ob es darum geht, Bücher online einzukaufen, Bankgeschäfte zu erledigen oder auch das lang ersehnte Wunschauto zu konfigurieren – längst sind Web-Anwendungen das Mittel der Wahl. Plattformunabhängige Browser ermöglichen es, von fast jedem Endgerät und von überall aus auf eine Web-Applikation zuzugreifen.

Doch wenn es um die Sicherheit von Web-Applikationen geht, bietet sich generell nach wie vor ein düsteres Bild: Studien belegen, dass drei von vier Web-Applikationen gegen Angriffe von Außen nur ungenügend geschützt sind und von professionellen Hackern problemlos attackiert werden können. Die Vielfalt, die Häufigkeit und das Schadenpotenzial solcher Angriffe haben dabei in letzter Zeit stark zugenommen; mittlerweile finden rund 75 Prozent aller Angriffe auf Applikationsebene statt. Mit einer erstaunlicher Leichtigkeit können Angreifer an vertrauliche Informationen gelangen, betrügerische Transaktionen auslösen, Systeme lahm legen oder – schon fast harmlos, weil einfach erkennbar – Webseiten verunstalten. Und was dabei am meisten beunruhigt: Erfolgreiche Attacken werden in den meisten Fällen gar nicht erkannt, allenfalls werden dilettantische Fehlversuche festgestellt. Ein elektronischer Angriff aber, der nie bemerkt worden ist, kann sich jederzeit wiederholen und großen Schaden anrichten.

WEB-APPLIKATIONEN RUND UM DIE UHR ERREICHBAR Um in der heutigen Zeit geschäftlichen Erfolg zu haben, müssen Web-Applikationen von Kunden, Partnern und Mitarbeitern rund um die Uhr und von überall her erreichbar sein. Nicht mehr der Zaun um das Firmenareal, sondern vernetzte Geschäftsapplikationen sind damit das neue Zutrittstor zu Unternehmenswerten wie Informationen oder Prozessen. Zu diesem Zweck werden IT-Netze nach außen hin außen geöffnet, wodurch eine Vielzahl neuer, geschäftskritischer Sicherheits- und Verfügbarkeitsrisiken für Anwendungen entsteht.

Den Umstand der relativ allgemeinen Zugänglichkeit von Web-Applikationen machen sich auch Hacker zu Nutze.

Sie greifen längst nicht mehr das Netzwerk an, weil Attacken auf Anwendungen viel einfacher und wirkungsvoller sind. Mit ausgereiften Methoden verschaffen sie sich so Zugriff auf sensitive Daten und kritische Transaktionen. Weil Webserver per Definition elektronische Schnittstellen zu internen Ressourcen wie Datenbanken oder Transaktionssysteme sind, bieten sie für Hacker eine ausgesprochen attraktive Angriffsplattform und stellen somit immer ein potenzielles Risiko dar. Selbst die kleinste Lücke ist eine zuviel. Der Angreifer hat dabei sämtliche Vorteile auf seiner Seite: Er muss lediglich eine einzelne Schwachstelle im System finden, um erfolgreich zu sein. Ein Unternehmen mit einer Webapplikation hingegen muss diese Denkweise nachvollziehen und jede theoretisch mögliche Attacke eines Angreifers voraussehen, um die Anwendung wirksam zu schützen. Das bedeutet, dass die Applikation auch nach der funktionalen Fertigstellung kontinuierlich auf den aktuellsten Sicherheitsstand gebracht werden muss.

Die Praxis zeigt allerdings, dass Web-Applikationen im besten Fall diejenigen Angriffsmethoden ansatzweise verhindern, die den Programmierern zum Zeitpunkt der Entwicklung bekannt waren. Beim aktuellen Bedrohungsszenario reicht das allerdings in keinster Weise aus. Denn die kriminellen Innovationen in der Hackerszene können nicht treffsicher vorhergesehen werden. Der Angreifer verfügt also immer über einen Informationsvorsprung, weil die typischen Sicherheitsstandards der Weba-Applikationen lediglich gegen bekannte Tricks schützen.

ANGRIFFE WERDEN IN DER REGEL NICHT ERKANNT Ein professioneller Hacker tarnt dabei seine Einbrüche so gekonnt, dass seine gezielten manuellen Angriffe – diese sind um ein Vielfaches wirkungsvoller als die verbreitete Ausnutzung von bekannten Schwachstellen – auf die Applikationsebene im Regelfall nicht erkannt werden und sensitive Daten vergleichsweise einfach extrahiert werden können. Weil sich die Angriffe für die Applikation meist nicht von gültigen Anfragen unterscheiden, hinterlassen sie dementsprechend keine Spuren.

Das System funktioniert einfach weiter – als ob nichts geschehen wäre. Dies vermittelt vielen IT-Verantwortlichen oft ein trügerisches Gefühl von Sicherheit (nur schon deshalb, weil automatisierte Angriffe durch Viren, Trojaner und Würmer unzählige Einträge in den Log-Dateien der Systeme hinterlassen) und verleitet sie zu der Aussage, dass »bei ihnen noch nie etwas passiert« sei und dass ihre Applikationen »bestens geschützt« seien. Diese Annahme basiert darauf, dass der Angriff merkliche Konsequenzen hinterlassen müsste. Gerade bei versteckten applikatorischen Angriffen ist diese Vermutung aber äußerst fragwürdig – insbesondere weil der Diebstahl von vertraulichen Kunden- und Wirtschaftsdaten oder Passwörtern in aller Regel still und unbemerkt vonstatten geht.

Die Realität zeigt deutlich: Im besten Fall bedeutet dies für das Unternehmen, dass es bisher Glück gehabt hat oder die Daten nicht attraktiv genug gewesen sind, um gestohlen zu werden. Und im schlimmsten Fall suggeriert diese Aussage, dass der Sicherheitsverantwortliche nicht professionell genug gewesen ist und davon ausgeht, dass bei einem erfolgreichen Angriff auf jeden Fall merkliche Hinweise und spezielle Vorkommnisse aufgetaucht wären. Neben dem Schutz vor Viren und der Bekämpfung von Spam muss der Schutz von Web-Applikationen aus den dargelegten Gründen oberste Priorität haben, denn Sicherheit (die Abwehr von Unerwünschtem) und Verfügbarkeit (die Bewältigung von hohen Lasten) sind für einen zuverlässigen Betrieb von Web-Applikationen unabdingbare Voraussetzungen. Es gilt, durch die Kombination von vorgelagerten Sicherheitsfunktionen in einem Application Security Gateway und Maßnahmen in der Applikationsentwicklung die Risiken für Angriffe tief zu halten und möglichst wenig Informationen über die Webanwendung und die verwendeten Technologien preiszugeben.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr

Hosted by:    Security Monitoring by: