Cyber-Kriminelle abwehren

So schützen Sie Ihre Web-Anwendung

Diego Wyllie hat Wirtschaftsinformatik an der TU München studiert und verbringt als Softwareentwickler und Fachautor viel Zeit mit Schreiben – entweder Programmcode für Web- und Mobile-Anwendungen oder Fachartikel rund um Softwarethemen.
Termin- und Kostendruck sind keine Ausrede dafür, die Sicherheit von Web-Anwendungen zu vernachlässigen. Security ist zu einem entscheidenden Qualitätsmerkmal Web-basierender Software geworden.
Schützen Sie Ihre Web-Anwendungen!
Schützen Sie Ihre Web-Anwendungen!
Foto: Fotolia, NiDerLander

Die Meldungen über Datenschutzskandale häuften sich in den letzten Jahren. Ende 2008 musste beispielsweise die Deutsche Telekom bekannt geben, dass zwei Jahre zuvor 17 Millionen Telefonnummern und vertrauliche Kundendaten gestohlen worden waren. Eine Woche später erfuhr die Öffentlichkeit, dass durch ein Sicherheitsleck im Vertriebsportal der mobilen Sparte T-Mobile die Daten von rund 30 Millionen Handy-Kunden samt Bankverbindungen von Unbefugten mit relativ geringem Aufwand eingesehen und verändert werden konnten.

Wie hart es ein Unternehmen treffen kann, hat auch Sony schmerzlich erfahren müssen. Nachdem Cyber-Kriminelle sensible Informationen von Millionen Kunden erbeutet hatten, musste der japanische Elektronikriese seine Online-Dienste "Playstation Network" und "Qriocity" komplett abschalten. Man kann sich leicht vorstellen, dass ein solcher Angriff nicht nur einen großen Image-Verlust, sondern auch enorme Kosten verursachen kann.

Es kann jeden treffen

Wer glaubt, im Visier von Cyber-Kriminellen ständen nur prominente Großunternehmen, der täuscht sich. Zwar schaffen es nur die spektakulärsten Vorfälle in die Schlagzeilen, doch Hacker machen bei ihren Angriffen keinen Unterschied, ob die Opferfirmen klein oder groß sind, bekannt oder unbekannt. So zeigt eine im Februar 2011 veröffentlichte Studie, die das amerikanische Sicherheitsinstitut Ponemon unter rund 640 Unternehmen vorgenommen hat, dass 73 Prozent der Befragten in den zwei Jahren zuvor erfolgreich gehackt wurden.

Das Einfallstor sind demnach Web-Applikationen und -Seiten. Viele der befragten Organisationen, so die Studie weiter, betrachten Web-Anwendungssicherheit als das kritischste Sicherheitsthema oder zumindest als ebenso kritisch wie andere Security-Aspekte. "Während IT-Spezialisten die Bedeutung sicherer Web-Anwendungen erkennen, bieten ihre Organisationen nicht die nötigen Mittel und auch nicht die nötigen Kenntnisse, um das Risiko zu begrenzen", kommentiert Larry Ponemon, Vorstand und Gründer des Instituts, die Studienergebnisse. "Mehr als die Hälfte der Interviewten glauben, nicht die Ressourcen zu haben, um Sicherheitsmängel in Web-Applikationen zu finden und zu beheben."

Viele Fehler im Vorfeld

Ähnliches bestätigt das Papier "Sicherheit von Web-Anwendungen" des Bundesamts für Sicherheit in der Informationstechnik (BSI). Richtlinien zur sicheren Programmierung seien demnach häufig nicht vorgegeben oder würden nicht beachtet. Freigabeprozesse, die vor der Produktivschaltung ein definiertes Sicherheitsniveau herstellen sollen, existierten nicht. Generell verfügbare Schutzmaßnahmen würden zugunsten maximaler Verfügbarkeit und Kostenersparnis nicht angewandt. Zudem kritisieren die Spezialisten, dass Softwareentwicklungs-Verträge und -Budgets die Sicherheit der Anwendung als Teilaspekt des Gesamtprojekts oft nicht vorsehen.