Web Application Firewall

Grundschutz für Web-Applikationen

Klassische Firewalls und Intrusion-Detection/Prevention-Systeme (IDS/IPS) können Web-Anwendungen nicht vor Hackern abschirmen. Web Application Firewalls (WAFs) sollen Angreifern auf Anwendungsebene einen Riegel vorschieben.

Der direkte Zugang in interne Firmennetze ist Hackern inzwischen weitestgehend verbaut. Firewalls und Intrusion Detection wehren die früher noch erfolgreichen Angriffe sicher ab. Doch Web-Anwendungen bieten den Hackern zunehmend die Chance, an sensible Daten zu gelangen.

Die für das Internet konzipierten Anwendungen bieten jede Menge an Angriffsfläche. Oft genügen dem Angreifer schon das Einschleusen von SQL-Kommandos über frei zugänglich Formularfelder oder die simple Manipulation von Parametern in der URL, um an interne Daten zu gelangen. Mit komplexeren Angriffsmethoden wie beispielsweise Cross-Site-Scripting und Session-Hijacking nutzen Kriminelle gezielt Problemzonen in der Web-Applikation selbst aus. Klassische, auf die Absicherung der Transportschichten konzentrierte Schutzvorkehrungen wie Firewalls und Intrusion-Detection/Prevention-Systeme (IDS/IPS) greifen hierbei nicht.

Experten führen das Gros der Schwachstellen in Web-Anwendungen darauf zurück, dass das http-Protokoll nicht für die heute üblichen Applikationen konzipiert wurde. So müssen etwa aufgrund des zustandslosen Übertragungsprotokolls Sessions beziehungsweise Zustände der Anwendungen eigens definiert und sicher implementiert werden. Zusätzliche Angriffsflächen, so die mit dem Thema Web Application Security (WAS) befasste Non-Profit-Community "Open Web Application Security Project" (Owasp), entstehen durch die Komplexität der Web-Script-Sprachen und Application-Frameworks.

Grundsätzlich sollte die Absicherung einer Web-Anwendung bereits in der Design- beziehungsweise Entwicklungsphase beginnen. Worauf es dabei ankommt, versucht das Owasp Web-Entwicklern unter anderem mit seiner jährlich aktualisierten Liste "The Ten Most Critical Web Application Security Vulnerabilities" nahezubringen. Doch "sichere" Programmierung allein reicht nicht.

"Natürlich ist es immer erstrebenswert, durch sichere Entwicklung Fehler von vornherein zu vermeiden - ganz auszuschließen sind Schwachstellen jedoch nie", gibt Stefan Strobel, Geschäftsführer des auf Applikationssicherheit spezialisierten Unternehmens Cirosec, zu bedenken. Aber auch regelmäßige Sourcecode-Audits, um Fehler in bereits bestehenden Anwendungen aufzuspüren und zu beheben, sind nach Erfahrung des Experten kein Allheilmittel. "Wir haben in Bankenapplikationen im Zuge von Audits Schwachstellen gefunden, deren Behebung im Endeffekt bis zu einem Dreivierteljahr in Anspruch genommen hat - unter anderem, weil sich dabei wieder neue Fehler eingeschlichen haben", beschreibt der Berater. Während dieser Zeit ist die Anwendung angreifbar.