Den meisten Firmen sei nicht einmal bewusst, dass eine herkömmliche Netz-Firewall nicht vor Attacken auf Applikationsebene schützen könne, bemängeln die Marktforscher. Die Forrester-Studie unterscheidet zwischen der traditionellen Firewall, die Datenpakete inspiziert, und dedizierten Web-Application-Firewalls (WAFs), die Paketflüsse beziehungsweise Sessions mit Web-Servern inspizieren. Vielen Unternehmen sei dieser Unterschied nicht klar, so der Report "Web Application Firewall Forecast: 2007 bis 2010".
Das mangelnde Wissen könnte Unternehmen angesichts ihrer offenbar vor Löchern strotzenden Web-Applikationen teuer zu stehen kommen: Symantecs jüngstem Internet-Sicherheitsbericht zufolge, der Bedrohungen in der zweiten Jahreshälfte 2006 beleuchtet, sollen sich immerhin 66 Prozent der von Juli bis Dezember 2006 ermittelten Schwachstellen auf Web-Anwendungen bezogen haben.
Ein wachsendes Bewusstsein für Web-Application-Threats erwarten die Forrester-Auguren allerdings spätestens mit der Einführung der PCI-Datensicherheitsstandards (Payment Card Industry), so die Auguren. Diese sollen für den Schutz etwa von Kreditkartendaten und anderen persönlichen Informationen bei Online-Transaktionen sorgen. Laut Forrester schreiben die PCI-Standards als eine von zwei Optionen zum Schutz vor Angriffen auf Web-Applikationen WAFs vor. Alternativ seien die einzelnen Web-Anwendungen auf Sicherheitslecks zu überprüfen und diese gegebenenfalls zu beheben, so die Studie.
Ab Mitte 2008 müssen Unternehmen die PCI-Standards erfüllen. Bis dahin, so die Forrester-Prognosen, wird nicht nur das Know-How hinsichtlich der Sicherheit von Web-Anwendungen beziehungsweise WAFs wachsen, sondern auch die Nachfrage nach dieser Firewall-Spezies sowie der darüber erzielte Umsatz steigen.
Bis Mitte 2008 dürften sich laut Report viele Firmen Stand-Alone-WAFs zulegen. Allerdings geht Forrester davon aus, dass anderes Equipment wie Application-Acceleration-Plattformen oder Rund-um-Security-Appliances die Funktionen der WAF-Boxen nach und nach absorbieren. Analog dazu sei zu erwarten, dass einige WAF-Anbieter von größeren Networking-Firmen geschluckt und die Preise entsprechend sinken werden. Zu den führenden WAF-Anbietern zählt Forrester Breach Security, Citrix Systems, F5 Networks, Imperva, NetContinuum sowie Protegrity. (kf)