computerwoche.de

Archiv

Web-Anwendungen - Achillesferse der IT

29.04.2004
Von Martin Seiler
Eine neue Gefahr bedroht Unternehmen: Hacker versuchen immer öfter, über Web-Anwendungen auf sensible Daten in Legacy-Systemen zuzugreifen. Türöffner sind dabei unter anderem Programmierfehler. Anwender können reagieren, indem sie ihre Anwendungen auf Sicherheitslecks überprüfen oder Gateways dazwischenschalten.

Das ist der Alptraum jedes Unternehmens: Über eine harmlose Web-Anwendung auf seiner Homepage, die dem Kunden besseren Service bieten soll, lassen sich völlig andere, überhaupt nicht zur Veröffentlichung gedachte Informationen aus der damit verbundenen Datenbank auslesen.

Herkömmliche Sicherheitsmechanismen wie Firewalls versagen, wenn es um den Schutz von Web-Anwendungen vor Manipulationen oder Hackerattacken geht. (Bild: Photodisc)
Herkömmliche Sicherheitsmechanismen wie Firewalls versagen, wenn es um den Schutz von Web-Anwendungen vor Manipulationen oder Hackerattacken geht. (Bild: Photodisc)

Wer denkt, es handle sich hierbei um ein konstruiertes Horrorszenario, irrt: Der Computerhersteller Gateway musste Anfang des Jahres am eigenen Leib erfahren, wie real die Bedrohung ist. Die Website des Unternehmens wies jedem registrierten Besucher eine sechsstellige Identifizierungsnummer zu. Anhand dieser Zahl sollte das System den Kunden bei seinem nächsten Besuch wiedererkennen und ihm sogleich die für ihn relevanten Daten anzeigen. Leider ließ sich diese lokal auf dem Anwender-Desktop gespeicherte Nummer verändern, wodurch nicht nur die eigenen, sondern auch Kontodaten anderer Benutzer einsehbar waren. Es war sogar möglich, mit Hilfe eines Skripts alle möglichen Zahlenkombinationen durchzugehen und so die dazu gehörigen Informationen abzurufen.

Pannen wie diese können die verschiedene Ursachen haben. Die Quelle des Übels liegt entweder in der fehlerhaften Programmierung der Web-Anwendung, der Backend-Applikation oder dem Zusammenspiel zwischen diesen beiden. Gewiefte Hacker sind dann in der Lage, via Browser Abfragen zu starten und Daten einzusehen, die eigentlich nicht dafür gedacht sind. Maßnahmen zur so genannten Web Application Security (WAS) sollen derlei Angriffe verhindern. Wie die Computing Technology Industry Association (Comptia) unlängst warnte, nimmt die Zahl solcher Attacken zu und könnte aus Sicht der Organisation der "nächste große Alptraum der IT-Security" sein.

Aus Sicht von Wilfried Schmitz, Chief Technology Officer bei der Ludwigshafener SHE Informationstechnologie AG, ist "Applikationssicherheit ein altes Problem", das Anwender viel zu lange ignoriert hätten. Dies blieb nur deshalb ohne größere Folgen, weil Unternehmen ihre Systeme in klar begrenzten, abgeschotteten Umgebungen betrieben haben. Brisant wurde das Problem laut Schmitz erst durch den Internet-Hype: "Jeder wollte möglichst schnell online sein. Viele dachten, die Sicherheitszone an der Unternehmensgrenze wird schon ausreichen."