In der Vergangenheit haben sich Unternehmen vor Angriffen mit Hilfe von Netzwerk-Firewalls geschützt. Die Idee hierbei ist, dass nur wenige ausgewählte Verbindungen Zugang zur Firma bekommen. Allerdings haben sich die meisten Angriffe von der Netzwerk- auf die Anwendungsebene verlagert. Hacker konzentrieren sich nicht länger auf das Attackieren von Routern, Switches und anderen Netzkomponenten, sondern greifen lieber die Web-Anwendungen des Unternehmens an.

Leider sind diese Hacker oft erfolgreich, weil viele Web-Anwendungen schwerwiegende Schwachstellen haben. Eine Untersuchung von 687 Applikationen, die die US-amerikanischen Security-Spezialisten von Whitehat Security betrieben haben, hat gezeigt, dass mehr als 82 Prozent der Programme mindestens eine Schwachstelle wie Cross Site Scripting, SQL-Injection und Privilege Escalation aufweisen (siehe auch Die 25 gefährlichsten Programmierfehler). Traditionelle Abwehrmechanismen wie Netzwerk-Firewalls schützen nicht gegen diese Art von Angriffen, denn sie konzentrieren sich voll und ganz auf die Netzwerk- und Transportschicht. Angriffe auf Ebene des Hypertext Transfer Protocol (HTTP, Schicht 7) erkennen diese Instrumente nicht.

Es gibt einige Möglichkeiten, die Sicherheitslücken zu schließen. Eine neue Klasse von Produkten, die einen umfassenden Schutz auf der Anwendungsebene gewährleisten sollen, sind die Web Application Firewalls (WAFs). Eine WAF ist im Grunde eine Art Filter zwischen dem Client und dem Server, der schädliche und gefährliche Requests blockiert, bevor sie die Anwendungen erreichen. Richtig ausgewählt, installiert und konfiguriert kann eine WAF die Sicherheit von Web-Applikationen erheblich verbessern. Die Mehrzahl der WAFs schützen Anwendungen (zumindest auf dem Papier) gegen die meisten Bedrohungen, die das Open Web Application Security Project (OWASP) in seiner Liste der zehn häufigsten Bedrohungen führt. Allerdings ist der Schutz zum Teil sehr aufwendig.

Wer braucht warum eine WAF?

Eine WAF kann weder auf Knopfdruck die Schwachstellen einer unsicheren Software beheben, noch entbindet sie Hersteller und Anwender davon, zuverlässige Programme zu entwickeln. Trotzdem kann sie als Bestandteil einer umfassenden Strategie zur Sicherung von Web-Anwendungen, die auch sichere Entwicklungsverfahren sowie die Verwaltung und Überwachung einschließt, sehr nützlich sein. Soll eine WAF angeschafft werden, um Compliance-Vorschriften wie PCI-DSS (siehe Kasten "Informationsquellen") zu erfüllen, gilt es ebenfalls Vorsicht walten zu lassen. Auch wenn möglicherweise knappe Fristen zur schnellen Entscheidung drängen, sollte vor der Anschaffung eine fundierte Analyse stehen. Die gewählte Lösung muss mit den betrieblichen Sicherheitsrichtlinien vereinbar sein, die (hoffentlich) Ziele und Anforderungen für die Sicherung von Daten und Diensten definieren.

Die Produktwahl muss sich auf eine realistische Einschätzung stützen, welche Arten von WAFs zur Verfügung stehen, welche Einschränkungen sie haben und - ganz besonders - wie sich diese neuen Komponenten betreiben und verwalten lassen.

Der sichere Weg zu geeigneten WAF

Die Auswahl einer geeigneten WAF ist angesichts der vielen Produkte schwierig. Die entscheidenden Fragen lauten: Welche Funktionen und Aspekte sind wirklich wichtig? Wie lassen sich WAFs in eine bestehende Infrastruktur integrieren? Wie wird das Gerät installiert und verwaltet?

Sinnvoll ist es, nach folgenden Schritten vorzugehen:

1. Definieren Sie, was Sie mit dem Einsatz einer WAF erreichen können und was nicht. Ein Ziel kann sein, die Sicherheit im Rahmen einer umfassenden und schlagkräftigen Abwehrstrategie (Defense-in-Depth-Strategie) zu verbessern.

2. Bestimmen Sie, welche WAF-Architektur die beste für Sie ist und was Sie mit der Schutzsoftware erreichen wollen. Achten Sie darauf, dass die Lösung kompatibel mit vorhandenen Netzstrukturen sowie den eingesetzten Anwendungen und Geräten ist. Das Web Application Security Consortium (WASC) hat eine Serie von "Evaluationskriterien" erstellt, die hierbei hilfreich sein können.

3. Schätzen Sie ab, welchen Einfluss eine WAF auf bestehende Systeme und Prozesse nehmen kann. Planen Sie viel Zeit für die volle Bewertung der verschiedenen Produkte ein.

4. Klären Sie frühzeitig, wie sich eine WAF verwalten, unterstützen und betreiben lässt. Auch die Verantwortung muss zugeordnet werden. Möglicherweise entstehen unvorhergesehene Aufgaben, die die Gesamtkosten in die Höhe treiben. Es kann zum Beispiel nötig sein, neue Job-Funktionen an kritischen Organisationsschnittstellen zu schaffen.

5. Fordern Sie von Anbietern detaillierte Beschreibungen darüber, wie sie Ihre speziellen Probleme lösen. Bringen Sie sie dazu, Lösungen vorzuschlagen. Untersuchen Sie ihre Supportmöglichkeiten.

6. Betreiben Sie ein Pilotprojekt, um die Durchführbarkeit zu prüfen.

Eine WAF ist nicht nur ein technisch komplexes Bauteil, sondern wirkt sich auch organisatorisch auf das installierende Unternehmen aus. Sie sollte daher erst nach einer fundierten Analyse ausgewählt werden. (jha)