9. Unsichere Kommunikation

Das Problem: Häufig verschlüsseln Web-Applikationen den Netzverkehr nicht, so dass vertrauliche Kommunikation ungeschützt ist. Angreifer können sich so Zugriff auf die Konversationsinhalte sowie übermittelte Zugangsdaten und sensible Informationen verschaffen.

Beispiel: Wieder TJX: Den Ermittlern zufolge sollen Hacker eine Parabol-Antenne und ein Notebook verwendet haben, um an die Daten zu gelangen, die drahtlos zwischen tragbaren Price-Checking-Geräten, Kassen- und Rechnersystemen ausgetauscht wurden. "Das 17,4-Milliarden-Dollar-Funknetz des Retailers verfügte über weniger Sicherheitsvorkehrungen als die Netze vieler Heimanwender", schrieb das Wall Street Journal. TJX hatte das Verschlüsselungsprotokoll WEP (Wired Equivalent Privacy) anstelle des robusteren WPA (Wi-Fi Protected Access) verwendet.

Basis-Schutz: Owasp empfiehlt, SSL bei jeder Übermittlung sensibler Daten zu verwenden. Auch sollten Online-Zugriffe durch Kunden, Partner, Mitarbeiter oder Administratoren mittels SSL oder einem vergleichbaren Verschlüsselungsprotokoll geschützt sein. Wichtig sei zudem, die Kommunikation zwischen Infrastrukturelementen wie Web-Servern und Datenbanken mittels Transport Layer Security oder Verschlüsselung auf Protokollebene zu schützen.