Studie: Die meisten Websites sind verwundbar

Mangelndes Fachwissen lässt Unternehmen beim Schutz vor Bedrohungen auf Applikationsebene schludern. Zu diesem Schluss kommt ein aktueller Report von Forrester Research.

Den meisten Firmen sei nicht einmal bewusst, dass eine herkömmliche Netz-Firewall nicht vor Attacken auf Applikationsebene schützen könne, bemängeln die Marktforscher. Die Forrester-Studie unterscheidet zwischen der traditionellen Firewall, die Datenpakete inspiziert, und dedizierten Webapplication-Firewalls (WAFs), die Paketflüsse beziehungsweise Sessions mit Webservern inspizieren. Vielen Unternehmen sei dieser Unterschied nicht klar, so der Report "Web Application Firewall Forecast: 2007 bis 2010".

Das mangelnde Wissen könnte Unternehmen angesichts ihrer offenbar vor Löchern strotzenden Webapplikationen teuer zu stehen kommen: Symantecs jüngstem Internet-Sicherheitsbericht zufolge, der Bedrohungen in der zweiten Jahreshälfte 2006 beleuchtet, sollen sich immerhin 66 Prozent der von Juli bis Dezember 2006 ermittelten Schwachstellen auf Webanwendungen bezogen haben.

Ein wachsendes Bewusstsein für Web-Application-Threats erwarten die Forrester-Auguren allerdings spätestens mit der Einführung der PCI-Datensicherheitsstandards (Payment Card Industry), so die Auguren. Diese sollen für den Schutz etwa von Kreditkartendaten und anderen persönlichen Informationen bei Online-Transaktionen sorgen. Laut Forrester schreiben die PCI-Standards als eine von zwei Optionen zum Schutz vor Angriffen auf Webapplikationen WAFs vor. Alternativ seien die einzelnen Webanwendungen auf Sicherheitslecks zu überprüfen und diese gegebenenfalls zu beheben, so die Studie.