Web Application Security - der blinde Fleck der Internetsicherheit

Wer eine Web-Anwendung betreibt, sei es nun ein Forum, ein Shop oder ein Extranet für Geschäftspartner, muss allein schon aus Compliance-Gründen für Sicherheit sorgen. Doch allzu häufig fehlt es an dedizierten Sicherheitsbeauftragten und entsprechenden Verfahren.

Wer denkt, seine Web-Anwendung sei sicher, irrt meistens. Viele E-Business-Unternehmen beschäftigen zwar dedizierte Spezialisten für die Sicherheit, diese kümmern sich jedoch hauptsächlich um Netzwerk-Fragen. Die Web-Applikationen liegen dabei wie ein blinder Fleck außerhalb des Gesichtsfeldes.

Dabei gäbe es allen Grund zur Vorsicht: Aktuelle Studien wie der Report von Forrester Research zur IT-Security in Europa 2007, die Studie von Steria Mummert oder der Symantec-Sicherheitsbericht warnen, dass die meisten Angriffe im Netz auf Web-Anwendungen abzielen – viele Unternehmen sind sich der Gefahr aber nicht bewusst.

Bei Online-Banking-Angeboten ersetzen Phishing-Angriffe, SQL-Injections oder Man-in-the-Middle-Attacken den konventionellen Bankeinbruch, bei Web-Shops gehen Web-Kriminelle mit fremden Identitäten auf Shopping-Tour und bei Partnerportalen werden unter Umständen Planungsdaten für neue Produkte ausspioniert.

Wichtig zu wissen: Web-Anwendungen benötigen speziellen Schutz. Klassische Schutzwälle wie Firewalls, Reverse Proxys oder Intrusion-Detection-Systeme greifen hier zu kurz. Die Lösung sind spezielle „digitale Türsteher“ – sogenannte Web Application Firewalls (WAFs) – die bildlich gesprochen nicht nur die „Ausweise“, sondern auch die „Taschen“ eingehender Anfragen kontrollieren.