Sichere Webapplikationen

Fallstricke vermeiden und Nutzerdaten schützen

Nach seinem Informatik-Studium an der ETH Zürich arbeitete Martin Burkhart zunächst als Software Entwickler. Er kehrte dann zur ETH zurück und befasste sich in seiner Dissertation mit der Anonymisierung von Netzwerkdaten und angewandter Kryptographie für kollaborative Sicherheitsprotokolle. Bei Ergon leitete Martin Burkhart anfangs IAM Integrationsprojekte und ist seit 2013 für das Produktmanagement der Airlock Suite zuständig.
Trotz einer Vielzahl an Bedrohungen investieren Betreiber von Webapplikationen noch immer zu wenig Zeit in Sicherheitsmaßnahmen und gefährden im schlimmsten Fall persönliche Daten ihrer Nutzer.

Home-Banking, digitales Shoppen oder überregionales Arbeiten in der Cloud - Nutzer kommen mit Webanwendungen nahezu täglich in Berührung, wenn sie im Internet surfen. Dabei geben sie persönliche und sensible Daten preis, die besonders für Cyberkriminelle von großem Interesse sind. Nicht selten sind Funktionalität und Design von Webapplikationen über die Datensicherheit erhaben.

Dank Malware, Identitätsdiebstahl oder Sicherheitslücken bei Standardkomponenten ist es für Cyberkriminelle fast ein Kinderspiel, in Systeme einzudringen und an Daten zu gelangen.
Dank Malware, Identitätsdiebstahl oder Sicherheitslücken bei Standardkomponenten ist es für Cyberkriminelle fast ein Kinderspiel, in Systeme einzudringen und an Daten zu gelangen.
Foto: Jürgen Fälchle - Fotolia.com

Die Vergangenheit und jüngste Hacks zeigen jedoch, dass die Sicherheit bei Webapplikationen essentiell ist. Hacks wie sie bei der Dating-Plattform Ashley Madison stattgefunden haben, können auch andere Branchen treffen. Häufig sind Anbieter und Entwickler von Webapplikationen schlecht informiert und unterschätzen die Gefahr.

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

So geht eine Vielzahl der Anbieter davon aus, dass ihre Webapplikation keinen Zugriff auf das ausführende System sowie die Daten bietet. Dank Malware, Identitätsdiebstahl oder Sicherheitslücken bei Standardkomponenten ist es für Cyberkriminelle fast ein Kinderspiel, in Systeme einzudringen und an Daten zu gelangen. Hilfsmittel wie regelmäßiges Patching und Scanning genügen nicht, um Systeme abzusichern.

Beides ist zwar von immenser Bedeutung für die Sicherheit, greift aber erst nach Bekanntwerden von Exploits. Laut der BSI-Studie "Die Lage der IT-Sicherheit in Deutschland 2014" wurden während des Jahres 2014 in 13 weit verbreiteten Softwareprodukten 705 kritische Schwachstellen entdeckt, die effektiv von Angreifern ausgenutzt wurden. Die Schäden durch Zero-Day-Exploits waren beträchtlich.

Schnelles Handeln ist essentiell

Zwar lässt sich in nahezu jede Applikation ein gewisses Maß an Sicherheit integrieren, der Schutz ist dabei nur gegen bereits bekannte Risiken wirksam und darum relativ statisch. Tauchen neue Sicherheitslücken in Webapplikationen auf, bedarf es zeitaufwendiger und mühsamer Entwicklungsarbeit. Oft bauen Webapplikationen auf Systemen nach dem Modellbaukasten auf, wodurch die Entwicklungsarbeit nur begrenzt möglich ist. Hier muss dann der Hersteller der Software tätig werden.

Nicht nur proprietäre Systeme sind von Sicherheitslücken betroffen, auch etablierte Schutzmaßnahmen wie SSL können schwere Mängel aufweisen. Heartblead hat eindrucksvoll bewiesen, wie verwundbar auch weltweite Security-Standards sein können und wie wichtig eine schnelle Eingriffsmöglichkeit ist. Auch Maßnahmen wie Netz-Firewalls genügen nicht mehr, da Angriffe heutzutage auf der Applikations- und nicht auf der Netzwerkebene stattfinden.

Keine Anzeichen, keine Angriffe

Trügerisch ist besonders die Annahme, dass es keine Angriffe auf die eigene Applikation gibt, wenn die Sicherheitslösung solche nicht erkennt und dadurch auch nicht meldet. Bei gezielter Cyberspionage können Angreifer im Durchschnitt 243 Tage unbemerkt auf das Netzwerk des Opfers zugreifen. Zwei Drittel dieser Angriffe werden zuerst von außenstehenden Personen entdeckt, noch bevor die Security-Beauftragten selbst darauf aufmerksam werden.

Kommt es einmal doch zu einem Angriff und dieser wird erkannt bzw. auch in den Medien publik gemacht, ist oft die Aussage - es wurde nichts gestohlen - zu vernehmen. Das Problem hierbei ist, dass elektronischer Datendiebstahl meist nicht von normalen Anwendungszugriffen zu unterscheiden ist. Somit kann der Anbieter nicht wissen, ob und wie lange jemand schon Daten über eine Schwachstelle auf dem elektronischen Weg kopiert hat. Diese Art des Angriffs hinterlässt keinerlei Spuren. Anders als bei Viren oder Trojanern, die noch vor einigen Jahren im Umlauf waren, werden die Systeme heutzutage auch bei gezielten Angriffen nicht beeinträchtigt und laufen für Benutzer und Administratoren wie gewohnt weiter.

Ein sicherer Standard ist ein guter Anfang

Der Aufbau eines Systems, inklusive Soft- und Hardware sowie der Sicherheitsmaßnamen, hängt stark von den täglichen Anforderungen und der Sensibilität der verarbeiteten Daten ab. Da Daten immer persönlicher werden, steigt ihr Wert, so müssen über Unternehmen und auch Anbieter von Webapplikationen hinweg hohe Sicherheitsstandards bestehen. Diese Standards könnten den Umgang mit Angriffen klar definieren: Anfragen, die SQL-Befehle enthalten, werden durch eine Kombination von Blacklist-Filtern und dynamischen Whitelist-Filtern detektiert und blockiert. URL-Verschlüsselung und Smart Form Protection verhindern die Modifikation von URL-Parametern und versteckten Formularfeldern. Angriffe über Header-Felder oder Cookies werden durch Filter und/oder den Cookie Store verhindert. Eine strikte Trennung der Security Domains schützt das Sicherheitssystem selbst gegen Overflow und OS Injection-Attacken.

Beispielhafter Ablauf der Nutzer-Authentifizierung bei einer Webapplikation.
Beispielhafter Ablauf der Nutzer-Authentifizierung bei einer Webapplikation.
Foto: Ergon Informatik AG

Eine fortschrittliche Sicherheitslösung muss in der Lage sein, neben Identitäten auch Inhalte zu prüfen. Diese zusätzliche Sicherheitsebene erlaubt eine schnelle Erkennung potentieller Angriffe auf Infrastrukturen.

Einen wichtigen Schritt in die Richtung der gemeinsamen, einheitlichen Standards hat das Open Web Application Security Project unternommen. Das OWASP ist eine offene Community mit dem Ziel, Organisationen und Unternehmen bei der Verbesserung der Sicherheit von Webanwendungen zu unterstützen. Dabei werden Werkzeuge, Methoden und Konzepte diskutiert, um eine sichere Entwicklung sowie der Schutz von Webanwendungen zu fördern. (mb)