Web Application Security - der blinde Fleck der Internetsicherheit

Wer sichert die Web-Applikation?

IT-Security-Verantwortliche kümmern sich um die Netzwerk-Sicherheit, Systemadministratoren um den Betrieb – und Entwickler um die Bereitstellung der geforderten Funktionalitäten einer Applikation. Die Sicherheit der Web-Applikation wird dabei nur allzu oft vergessen.

Es entsteht ein „Bermudadreieck“ der Zuständigkeiten zwischen den Abteilungen. Und das Fatalste daran: Den Entscheidern ist das nicht einmal bewusst. Die einzelnen Sicherheitsbeauftragten melden, ihr jeweiliger Bereich sei sicher – und haben Recht damit. Nur wird dabei übersehen: Die teure Alarmanlage sichert den Keller, das Erdgeschoss und den ersten Stock, das Dachfenster hingegen ist offen.

Anfrage: Zwar werden die unteren Schichten der Anfrage meist geschützt, doch wer entscheidet, ob diese Überweisung legitim ist?
Anfrage: Zwar werden die unteren Schichten der Anfrage meist geschützt, doch wer entscheidet, ob diese Überweisung legitim ist?

Analog schützen die klassischen Schutzschilde wie Firewalls, Reverse Proxys oder Intrusion-Detection-Systeme die unteren Transportschichten einer Web-Anfrage. Die höher liegende „Anwendungsschicht“ mit ihren speziellen Charakteristiken wie beispielsweise dem verwendeten Web-Framework, der speziellen Anwendungs-Logik und allen notwendigen Nutzereingaben wird nicht geprüft.

Wer schützt was: Die Prüfung der aller Schichten (Layer) bei einem eingehenden HTTP-Request.
Wer schützt was: Die Prüfung der aller Schichten (Layer) bei einem eingehenden HTTP-Request.

Haften muss für dieses Loch im Sicherheitszaun die Geschäftsleitung: Das Ausspionieren kritischer Kunden- und Mitarbeiterdaten wie Preisstrategien, Bezugswege, Produktgeheimnisse oder Vertragsdaten ist nicht nur ärgerlich, sondern kann richtig teuer werden. Für gestohlene Daten oder den Missbrauch einer Website für illegale Transaktionen oder den Versand von Spam ist der Betreiber in der Pflicht (siehe Kasten am Ende des Artikels).