Unternehmen haben den Schutz ihrer Netze vor feindlichen Übergriffen aus dem Internet in den vergangenen Jahren kontinuierlich verbessert. Dennoch gelingt es Angreifern immer häufiger, über Web-Anwendungen auf firmeninterne Backend-Systeme und darin befindliche sensible Daten zuzugreifen. Wie real die Bedrohung ist, belegen nicht nur zahllose Datenverluste in den USA, sondern auch erste hierzulande publik gewordene Fälle wie der digitale Einbruch bei dem Hamburger Online-Ticketverkäufer Kartenhaus.de im Oktober 2007, bei dem Kreditkartennummern und Rechnungsanschriften von 66 000 Kunden gestohlen wurden.

Unzureichende Abwehr

Die herkömmlichen Schutzwälle reichen demnach nicht aus, um derartige Attacken abzuwehren. Die Ursache des Problems liegt nicht in der Infrastruktur, sondern in der Software, die diese nutzt: Zunehmend interaktiv konzipierte, nach außen gerichtete Web-Anwendungen sind nicht nur für legitime Benutzer, sondern auch für Hacker leicht zugänglich und ermöglichen den Zugriff auf den ihnen zugrunde liegenden Programmcode. Mit Angriffsmethoden wie beispielsweise Cross-Site-Scripting, SQL-Injection und Session-Hijacking nutzen Kriminelle gezielt Problemzonen in der Web-Applikation selbst aus, so dass klassische, auf die Absicherung der Transportschichten konzentrierte Schutzvorkehrungen wie Netz-Firewall und Intrusion-Detection/Prevention-Systeme (IDS/IPS), hier zu kurz greifen.

Experten führen das Gros der Schwachstellen in Web-Anwendungen im Grunde darauf zurück, dass das "Web", speziell das Protokoll http, nicht für die heute üblichen Applikationen konzipiert wurde. So müssen etwa aufgrund des im Kern zustandslosen Übertragungsprotokolls Sessions beziehungsweise Zustände der Anwendungen eigens definiert und sicher implementiert werden. Zusätzliche Angriffsflächen, so die mit dem Thema Web Application Security (WAS) befasste Non-Profit-Community "Open Web Application Security Project" (Owasp), entstehen durch die Komplexität oft verwendeter Web-Script-Sprachen, Application-Frameworks und Web-Techniken.

Sichere Entwicklung ja, aber …

Grundsätzlich sollte die Absicherung einer Web-Anwendung bereits in der Design- beziehungsweise Entwicklungsphase beginnen. Worauf es dabei ankommt, versucht das Owasp Web-Entwicklern unter anderem mit seiner jährlich aktualisierten Liste "The Ten Most Critical Web Application Security Vulnerabilities" nahezubringen. Doch "sichere" Programmierung allein reicht nicht. "Natürlich ist es immer erstrebenswert, durch sichere Entwicklung Fehler von vornherein zu vermeiden - ganz auszuschließen sind Schwachstellen jedoch nie", gibt Stefan Strobel, Geschäftsführer des auf Applikationssicherheit spezialisierten Unternehmens Cirosec, zu bedenken. Aber auch regelmäßige Sourcecode-Audits, um Fehler in bereits bestehenden Anwendungen aufzuspüren und zu beheben, sind nach Erfahrung des Experten kein Allheilmittel. "Wir haben in Bankenapplikationen im Zuge von Audits Schwachstellen gefunden, deren Behebung im Endeffekt bis zu einem Dreivierteljahr in Anspruch genommen hat - unter anderem, weil sich dabei wieder neue Fehler eingeschlichen haben", beschreibt der Berater. Während dieser Zeit ist die Anwendung angreifbar.

Proaktiver Schutz

Web Application Firewalls (WAFs) sollen auf Anwendungsebene, allerdings ohne Eingriff in die Web-Applikation, dafür sorgen, dass Hacker keine Chance haben. Hauptaufgabe der WAFs ist laut Owasp, mittels Penetrationstests oder im Zuge von Sourcecode-Audits aufgespürte Sicherheitslücken, die bereits produktive Web-Anwendungen nach außen aufweisen, möglichst schnell abzudichten. Eine WAF arbeitet anders als die Netz-Firewall, die die Kommunikation zwischen Browser und Web-Anwendung nicht inhaltlich interpretiert, sondern primär analysiert, woher Datenpakete kommen und wohin sie geschickt werden. Eine WAF, die auf sämtliche vom Client-Browser an den Web-Server geschickten http-Daten zugreifen kann, überwacht und interpretiert speziell den ein- und ausgehenden Datenfluss der zu schützenden Applikation, um Anfragen mit verdächtigem Inhalt zu unterbinden.

Regeln und Blacklists

Suspekte Aktionen werden - ähnlich wie bei Virenscannern - anhand von Regeln, Signaturen oder eingebauten Heuristiken erkannt. Mittlerweile arbeiten auch WAFs meist nicht mehr nur mit einer Blacklist, die anhand bekannter Angriffsmuster nachweislich bösartige Anfragen unterbindet. Sie nutzen auch Positivlisten, mit deren Hilfe alles abgelehnt wird, was das Regelwerk nicht explizit als von der Anwendung gewünschtes Verhalten beschreibt, um so auch unbekannte Attacken abwehren zu können.

Verschiedenste Lernmodi, die es ermöglichen sollen, die aufwändige Pflege der Whitelist-Regeln weitgehend zu automatisieren, sind zumindest bei führenden Anbietern im WAF-Segment wie Citrix, Barracuda Networks (nach der Übernahme von Netcontinuum) oder auch F5 mittlerweile Standard. Diese Hersteller vereinen in ihren Gateways WAFs mit Funktionen wie Load-Balancing und Caching. "Es gibt sowohl statische Lernfunktionen, die den Administrator vor der Inbetriebnahme schützen, als auch dynamische Modi, die während der Laufzeit die individuelle Benutzer-Session verfolgen und Zustände zu vorhergehenden Zeiten mit Zuständen zu nachfolgenden Zeiten vergleichen", so Security-Spezialist Strobel. Diese Dynamik lässt sich beispielsweise über eine Statustabelle im Hauptspeicher der WAF erzielen, die sich alle aus der zu schützenden Web-Anwendung ausgehenden Links beziehungsweise URLs "merkt" und nur die registrierten zulässt. Der Schweizer WAF-Anbieter Visonys wiederum realisiert dies in seinem als Software-Appliance konzipierten Produkt "Airlock" mittels URL-Verschlüsselung.

Links überprüfen

Dabei analysiert Airlock alle aus der Web-Applikation kommenden HTML-Dokumente auf dem Weg zum Benutzer und chiffriert die darin befindlichen Links, so dass sie nicht mehr modifizierbar sind. "Man muss also nur einen einzigen unverschlüsselten Einstiegspunkt definieren - in der Regel die Startseite. Alle weiterführenden Links, Dokumente sowie sämtliche Navigationspfade innerhalb der Web-Anwendung sind dann verschlüsselt -und zwar nicht nur auf Verbindungsebene wie bei einer SSL-Verschlüsselung, sondern die URL beziehungsweise die in der Browser-Zeile sichtbare Adresse selbst", erläutert Daniel Estermann, Geschäftsführer bei der Visonys Deutschland GmbH, das Funktionsprinzip. Laut Thomas Schreiber, Geschäftsführer bei der auf Web-Applikationssicherheit spezialisierten Securenet GmbH, lassen sich mittels URL-Verschlüsselung gleich mehrere Übel an der Wurzel packen und eine ganze Klasse von Angriffsformen auf die Session-ID, etwa Session-Hijacking, -Fixation,- Denial-of-Service sowie -Riding, verhindern helfen. Auch könnten damit die Möglichkeiten der URL-Parameter-Manipulation, die Angreifern etwa dazu dienen können, sich höhere Zugriffsrechte zu verschaffen, deutlich eingeschränkt werden.

Best-of-Breed statt All-in-one

Dieses Feature hat mittlerweile auch Art of Defense seiner WAF-Lösung "Hyperguard" spendiert. Die Schutzsoftware des Regensburger Unternehmens stellt in gewisser Weise einen Exoten unter den in der Regel vor den Web-Servern platzierten, als Software-lösungen oder Hardware-Appliances konzipierten WAFs dar: Das Host-basierende Hyperguard lässt sich als Plug-in direkt im Web-Server installieren, kann aber auch in anderen Wirtssystemen wie Load Balancern (ZXTM von Zeus Technology), Reverse Proxys (etwa Microsoft ISA-Server) oder als Add-on in Netz-Firewalls (Genuscreen von Genua) sitzen. "Wir versuchen, das Thema Web Application Security als Best-of-Breed-Lösung für den Kunden dort abzubilden, wo er es haben möchte", beschreibt Georg Heß, CEO bei Art of Defense, den WAF-Ansatz seines Unternehmens. Ziel sei es, den sehr unterschiedlichen Ausgangssituationen und Zukunftsvisionen in den Unternehmen gerecht zu werden. Als Vorteile des Plug-in-Prinzips insbesondere für schnell wachsende, verteilte Infrastrukturen hebt Heß die einfache Installation sowie hohe Skalierbarkeit von Hyperguard hervor. Zudem soll es das "Application Defense Center" der WAF ermöglichen, sämtliche, selbst nicht inhouse befindliche, sondern auf Rechenzentren verschiedener Partnerunternehmen verteilte Hyperguard-Instanzen zentral zu überwachen und zu verwalten. "Dies ermöglicht es Unternehmen, den Überblick über dezentrale Strukturen zu bewahren und ihre Web-Applikationen separat im Blick zu behalten."

Neben dem grundsätzlichen Schutz gegen Hacker-Attacken auf Anwendungsebene bieten heutige WAFs auch applikationsübergreifende Sicherheitsdienste wie beispielsweise SingleSign-on-Möglichkeiten (SSO) mit vorgelagerter Authentifizierung - so etwa Visonys Airlock. Die Integration der Authentifizierung in die WAF ermögliche neben zusätzlicher Sicherheit Kosteneinsparungen bei der Applikationsentwicklung, da diese nicht mehr jeweils eigens implementiert werden müsse, so Visonys‚Äò Deutschland-Chef Estermann.