Den meisten Firmen sei nicht einmal bewusst, dass eine herkömmliche Netz-Firewall nicht vor Attacken auf Applikationsebene schützen könne, bemängeln die Marktforscher. Die Forrester-Studie unterscheidet zwischen der traditionellen Firewall, die Datenpakete inspiziert, und dedizierten Webapplication-Firewalls (WAFs), die Paketflüsse beziehungsweise Sessions mit Webservern inspizieren. Vielen Unternehmen sei dieser Unterschied nicht klar, so der Report "Web Application Firewall Forecast: 2007 bis 2010".
Das mangelnde Wissen könnte Unternehmen angesichts ihrer offenbar vor Löchern strotzenden Webapplikationen teuer zu stehen kommen: Symantecs jüngstem Internet-Sicherheitsbericht zufolge, der Bedrohungen in der zweiten Jahreshälfte 2006 beleuchtet, sollen sich immerhin 66 Prozent der von Juli bis Dezember 2006 ermittelten Schwachstellen auf Webanwendungen bezogen haben.
Ein wachsendes Bewusstsein für Web-Application-Threats erwarten die Forrester-Auguren allerdings spätestens mit der Einführung der PCI-Datensicherheitsstandards (Payment Card Industry), so die Auguren. Diese sollen für den Schutz etwa von Kreditkartendaten und anderen persönlichen Informationen bei Online-Transaktionen sorgen. Laut Forrester schreiben die PCI-Standards als eine von zwei Optionen zum Schutz vor Angriffen auf Webapplikationen WAFs vor. Alternativ seien die einzelnen Webanwendungen auf Sicherheitslecks zu überprüfen und diese gegebenenfalls zu beheben, so die Studie.
Ab Mitte 2008 mit PCI-Standard
Ab Mitte 2008 müssen Unternehmen die PCI-Standards erfüllen. Bis dahin, so die Forrester-Prognosen, wird nicht nur das Know-how hinsichtlich der Sicherheit von Webanwendungen beziehungsweise WAFs wachsen, sondern auch die Nachfrage nach dieser Firewall-Spezies sowie der darüber erzielte Umsatz steigen.
Bis Mitte 2008 dürften sich laut Report viele Firmen Stand-alone-WAFs zulegen. Allerdings geht Forrester davon aus, dass anderes Equipment wie Application-Acceleration-Plattformen oder Rundum-Security-Appliances die Funktionen der WAF-Boxen nach und nach absorbieren. Analog dazu sei zu erwarten, dass einige WAF-Anbieter von größeren Networking-Firmen geschluckt und die Preise entsprechend sinken werden. Zu den führenden WAF-Anbietern zählt Forrester Breach Security, Citrix Systems, F5 Networks, Imperva, NetContinuum sowie Protegrity. (Katharina Friedmann/mje)