Studie

Trügerische Web Application Firewalls

Entgegen den Herstelleraussagen sind Web Application Firewalls (WAF) nicht für alle Fälle gleich gut geeignet, so eine Studie der Optimabit GmbH.

Viele Softwareprojekte beschäftigen sich inzwischen in irgendeiner Form auch mit Web-Anwendungen. Mit zunehmender Verbreitung in unternehmenskritischen Bereichen, nimmt auch die Anzahl und Schwere der Angriffe auf diese Anwendungen zu. Eine Reihe von quelloffenen und kommerziellen Web Application Firewalls kommt deshalb mit dem Versprechen, einen "Rundum"-Schutz zu bieten, der Entwickler entlasten und die Sicherheit erhöhen soll. Allerdings finden die Interessenten für solche WAF-Produkte bislang nur sehr wenige unabhängige Informationen, die sich als fundierte Entscheidungshilfen für den WAF-Einsatz eignen. Abhilfe wollen hier die Münchner Experten für Anwendungssicherheit von der Optimabit GmbH schaffen. Sie haben im Rahmen einer jetzt veröffentlichten Studie mehrere Hersteller von WAFs sowie deren Lösungen unter die Lupe genommen. Die Untersuchung liefert den Angaben zufolge einen herstellerübergreifenden, unabhängigen Überblick über Web Application Firewalls, deren zu Grunde liegenden Verfahren sowie den Grenzen und Möglichkeiten der jeweiligen Technik. Man deckt die Defizite aktuell verfügbarer Lösungen auf und diskutiert die Integration von WAFs in die Anwendungsarchitektur. Außerdem werden fünf verschiedene WAF-Systeme und ihre Auswirkungen auf die Performanz der Gesamtanwendung dargestellt. "Denn nicht nur die Performanz, sondern die Betriebsbedingungen, das Management und die Architektur sind maßgeblich für den erfolgreichen Einsatz einer WAF," erklärt Bruce Sams, Sicherheitsexperte bei Optimabit, und räumt gleich mit einem weiteren Vorurteil auf: "WAFs sind kein Patentrezept gegen schlechte Implementierung oder unsicheres Design."

Weitere Informationen und eine kostenlose Leseprobe der rund 200 Euro teuren Studie lassen sich hier anfordern.

Lesen Sie auch