Cloud Computing

Sichere Applikationen helfen gegen Datenklau

Thomas Pelkmann ist freier Journalist in Köln.
Anzeige  Bei Diskussionen um die Sicherheit in der Cloud stehen bisher primär die Netzwerke im Vordergrund. Zu Unrecht, meint HP-Manager Arved Graf von Stackelberg: Es sei dringend nötig, sich auch um die Sicherheit der Anwendungen zu kümmern.
Hände weg vom Code: Wer seine Anwendungen sichert, schützt auch seine Daten.
Hände weg vom Code: Wer seine Anwendungen sichert, schützt auch seine Daten.
Foto: Fotolia, WoGi

Arved Graf von Stackelberg, Country Manager D-A-CH Fortify bei HP, weiß von einer interessanten Geschichte zu berichten, die illustriert, wie Internet-Gangster heutzutage an Geld kommen: Über eine Cross-Site-Scripting-Attacke (XSS) waren Hacker in das Computersystem einer Bank gelangt. Dort haben sie in Anwendungen, die mit Kunden kommunizieren, Code eingefügt, der Login und Passwörter abgriff. Die wurden allerdings nicht dazu genutzt, direkt an die Gelder auf den Konten zu kommen - das wäre viel zu auffällig gewesen und daher schnell bemerkt worden. Sie dienten vielmehr weiteren Hacks sowie so genannten Brute Force-Attacken.

Am Ende einer ganzen Kette von Aktionen gelang es den Angreifern schließlich, sich eines "Send Message"-Buttons zu bemächtigen. Über den wurden vermeintliche Kaufempfehlungen der Bank für eine Penny-Stock-Aktie verschickt, mit der sich die Gangster zuvor reichlich eingedeckt hatten. Durch die "Empfehlung" der Bank stieg der Wert der Aktie innerhalb kürzester Zeit so massiv, dass die Angreifer nur wenige Stunden später die Aktie mit hohem Profit verkaufen konnten. Die Bank, berichtet von Stackelberg, habe diesen Angriff erst drei Jahre später und nur durch Zufall entdeckt.

Wie lassen sich Daten und Anwendungen, auf die Mitarbeiter, Kunden und Partner über das Internet zugreifen können, sichern? Bisherige Technologien zum Schutz von Daten sind praktisch ausgereizt, meint HP-Manager von Stackelberg: "Die Investitionen in Firewalls und Antivirenprogramme sind in den vergangenen Jahren massiv gestiegen. Dennoch hat auch die Zahl der Angriffe auf Firmennetze massiv zugenommen". Traditionelle Schutzmaßnahmen seien zwar wichtig, so von Stackelberg, lösten aber das Sicherheitsproblem in der Cloud nicht.

In die Unternehmenssoftware brechen Hacker nicht über das Netz ein, sondern direkt mit Methoden wie Cross Site Scripting, SQL-Injection oder Information Leakage and Improper Error Handling - um nur drei einer ganzen Reihe von Möglichkeiten zu nennen.