Achillesferse der IT

Sicherheitsrisiko Web-Anwendung

Eine neue Gefahr bedroht Unternehmen: Hacker versuchen immer öfter, über Web-Anwendungen auf sensible Daten in Legacy-Systemen zuzugreifen. Türöffner sind dabei unter anderem Programmierfehler. Anwender können reagieren, indem sie ihre Anwendungen auf Sicherheitslecks überprüfen oder Gateways dazwischenschalten.

Das ist der Alptraum jedes Unternehmens: Über eine harmlose Web-Anwendung auf seiner Homepage, die dem Kunden besseren Service bieten soll, lassen sich völlig andere, überhaupt nicht zur Veröffentlichung gedachte Informationen aus der damit verbundenen Datenbank auslesen.

Wer denkt, es handle sich hierbei um ein konstruiertes Horrorszenario, irrt: Erst Anfang Februar 2009 konnten die Kunden von 1&1 auf die Verbindungsdaten anderer Nutzer zugreifen. Dazu genügte es, nach dem Login die eigenen Daten aufzurufen und anschließend in der URL die Rechnungs-ID zu ändern. Mehr zu dieser Datenpanne lesen Sie in unserem Artikel Massives Datenleck bei 1und1.

Verräterische ID: Wurde die hier geschwärzte Rechnungs-ID geändert, erhielt man Zugriff auf die Verbindungsdaten anderer Kunden.
Verräterische ID: Wurde die hier geschwärzte Rechnungs-ID geändert, erhielt man Zugriff auf die Verbindungsdaten anderer Kunden.

Pannen wie diese können verschiedene Ursachen haben. Die Quelle des Übels liegt entweder in der fehlerhaften Programmierung der Web-Anwendung, der Backend-Applikation oder dem Zusammenspiel zwischen diesen beiden. Gewiefte Hacker sind dann in der Lage, via Browser Abfragen zu starten und Daten einzusehen, die eigentlich nicht für sie gedacht sind. Maßnahmen zur so genannten Web Application Security (WAS) sollen derlei Angriffe verhindern. Wie die Computing Technology Industry Association (Comptia) ständig warnt, nimmt die Zahl solcher Attacken zu und könnte aus Sicht der Organisation zum Alptraum der IT-Security werden.