Auf Verbraucherseite haben zahlreiche Fälle von Datenverlusten wie etwa der Supergau bei dem amerikanischen Handelskonzern TJX, bei dem insgesamt rund 45,7 Millionen Kreditnummern gestohlen wurden, das Bewusstsein für das Thema Web-Sicherheit geschärft. Anders sieht es offenbar bei den Entwicklern von Web-Anwendungen aus: Sicherheitsexperten werfen ihnen vor, sich ihrer Verantwortung nicht genügend bewusst zu sein.
Statt Sicherheitsaspekte schon in der Designphase zu berücksichtigen, würden sie meist erst dann thematisiert, wenn eine Web-Seite bereits steht, bemängelt Forrester-Analyst Khalid Kark. Aufgrund dieser Nachlässigkeit hält der Experte das Gros der Sites anfällig für Hacker-Attacken. "Das Problem ist, dass IT-Sicherheit zum Zeitpunkt der Entstehung einer Applikation schlicht nicht berücksichtigt wird." Auch IT-Berater Joel Snyder kritisiert die Zunft der Programmierer, die das Thema Web Application Security seiner Beobachtung nach völlig ignoriert. Als größtes Manko erachtet er, dass Designer auf applikationsinterne Schutzwälle verzichteten, die es ermöglichen würden, zwischen den einzelnen Programmteilen hin- und herwandernde Daten zu isolieren und zu bewerten.
Um die Lösung dieses Problems bemüht sich auch das "Open Web Application Security Project" (Owasp). Ziel der Nonprofit-Community ist es, Web-Entwicklern mit ihrer jährlich aktualisierten Liste "The Ten Most Critical Web Application Security Vulnerabilites" die jeweils größten Sicherheitsrisiken nahe zu bringen. Laut Jeff Williams, Owasp-Chairman und CEO von Aspect Security, hat sich die Lage seit der Erstveröffentlichung der Schwachstellenliste im Jahr 2004 kaum verbessert. Vielmehr hätten neue Techniken wie Ajax und Rich Internet Applications, die das Äußere der Sites verschönern, zusätzliche Angriffsflächen geschaffen. Unternehmen von den Sicherheitsdefiziten ihrer Web-Seiten zu überzeugen, sei jedoch kein leichtes Unterfangen. "Es ist frustrierend, weil die Fehler so offensichtlich sind – wie bei einem Haus, dem eine Wand fehlt", schildert Williams seine Erfahrungen. Die Kollegen der CW-Schwesterpublikation "Network World" haben die jüngste Ausgabe des Owasp-Reports zusammengefasst und um aktuelle Beispiele ergänzt:
