Derartige Produkte sind von verschiedenen Herstellern entweder als reine Softwarelösung oder als Appliance erhältlich. "Interdo 3.0" von Kavado beispielsweise erkennt und blockt viele Standardattacken auf Web-Anwendungen, darunter SQL-Injection und Cross-Site-Scripting. "Appshield 4.0" von Sanctum ist eine weitere Lösung, die gängige Schwachstellen in Web-Anwendungen kennt und Versuche abwehrt, diese auszunutzen. Leider sind derartige Produkte nicht ganz billig. Wer sich auf diese Weise absichern will, muss mit Investitionen von 15.000 bis 30.000 Dollar rechnen.

Doch damit ist es nicht getan. Unternehmen sollten die Quelle des Übels angehen, Fehler im Programmcode suchen und beseitigen. "Das ist die unangenehme Wahrheit", kommentiert Sicherheitsspezialist Schreiber, demzufolge das Beseitigen der Schwachstellen "aufwändig und teuer" ist. Hier hapert es jedoch: SHE zufolge werden inzwischen zwar häufiger Security-Gateways eingesetzt, nur wenige Anwender seien jedoch bereit, den Code durchzusehen.

Branchenriese Microsoft geht hier mit gutem Beispiel voran. Die Redmonder unterziehen seit dem Beginn ihrer "Trustworthy-Computing"-Initiative ihre gesamte Software einer strengen Prüfung auf mögliche Programmierfehler. Der Hersteller hat überdies angekündigt, ein spezielles Tool zur Überprüfung von Code auf Security-Schwachstellen zum festen Bestandteil der nächsten Version des Entwicklungswerkzeugs "Visual Studio.NET" zu machen. Anwender können dies einsetzen, um selbst entwickelte Programme einem Sicherheitscheck zu unterziehen.

Dieses Vorgehen ist jedoch nicht nur während der Entwicklung, sondern auch nach der Fertigstellung einzelner Komponenten oder Softwarefunktionen zu empfehlen. Denn gerade im Zusammenspiel verschiedener, womöglich von unterschiedlichen Programmierern geschriebener Bestandteile können Fehler auftreten, die aktuell zu verarbeitende Daten, das System und schließlich die Sicherheit des kompletten Unternehmens gefährden. Daher sollte auch vor dem Rollout eine intensive Testphase eingeplant werden.

Hersteller wie Fortify ("Source Code Analyser"), Sanctum ("Appscan") oder Spidynamics ("Webinspect") bieten Lösungen, um Unternehmen bei dieser mühsamen Arbeit zu unterstützen. Fortifys Source Code Analyser soll beispielsweise in der Lage sein, in Java oder C++ geschriebenen Sourcecode schon während der Entwicklung auf mögliche Sicherheitslecks hin zu untersuchen. Diese Programme sind nicht zu verwechseln mit Debugging-Tools, die Code unter anderem daraufhin mustern, ob die Programmiersyntax fehlerfrei ist, so dass Programme absturzfrei laufen. Stattdessen kontrollieren sie, an welcher Stelle eines Programms ein Entwickler eine potenziell unsichere Funktion benutzt.

Der Einsatz eines solchen Software-Scanners gibt jedoch keine 100-prozentige Sicherheit. SHE-Mann Schmitz warnt, dass auch diese Lösungen "Fehler haben oder an einer bestimmten Abzweigung eines Programms aussteigen können". An einer manuellen Überprüfung des Codes führe daher kein Weg vorbei. Fachmann Schreiber weist zudem darauf hin, dass es nicht mit einmaligen Überprüfungen getan ist: Vielmehr müsse die Sicherheit von Web-Anwendungen bei jeder Änderung aufs Neue getestet werden.