SQL Injection als Einfallstor

So können Unternehmen sich schützen

03.07.2015
Von 


Arved Graf von Stackelberg hat mehr als 12 Jahre Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungs-, Sicherheits- und Entwicklungsumfeld. Daneben bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, das diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

Herausforderungen und Möglichkeiten SQLi-Angriffe festzustellen

Natürlich wissen Unternehmen sehr gut, dass Cyber-Kriminalität und -Spionage eine echte Bedrohung für den Geschäftserfolg darstellen. Allerdings fehlt vielfach noch immer das Verständnis dafür, dass traditionelle Verteidigungsparameter wie IDS/IPS Systeme und Netzwerk-Firewalls (ja, sogar Next-Generation Firewalls) lange nicht mehr ausreichen, um sich vor Angriffen über die Anwendungsebene zu schützen.

Verteidigungsmechanismen auf Netzwerkebene können bösartigen Traffic auf der Anwendungsebene in der Regel nicht daran hindern, auf Web-Anwendungen abzuzielen. Genauso wenig können sie unterscheiden, ob Eingaben von hinterlistigen SQL-Befehlen stammen oder tatsächlich von dem Nutzer, der auch die Berechtigung dazu hat. Hier sind Unternehmen also ganz klar im Zugzwang: Sie müssen in der Lage sein, Angriffe über die Anwendungsebene zu entdecken, bevor Cyber-Kriminelle sie nutzen können.Das ist heute gar nicht mehr so schwierig und funktioniert etwa mit automatisierten Assessment-Lösungen - entweder über statisches oder dynamisches Analyse-Software-Testing (SAST / DAST).

Die größte Herausforderung im Kampf gegen SQLi ist es herauszufinden, wo ein Unternehmen nach solchen Schwachstellen suchen soll. Die immer noch stark ansteigende Nutzung von mobilen Endgeräten und Cloud Computing stellt Angreifern kontinuierlich neue potenzielle Ziele zur Verfügung. So haben IT-Abteilungen große Schwierigkeiten damit, alle Elemente im Blick zu behalten. Oft ist überhaupt nicht klar, wie viele Web-Anwendungen sich innerhalb des Unternehmensnetzwerks befinden - egal, ob es sich dabei um alte Seiten handelt, die noch Überbleibsel einer Übernahme sind, oder Entwickler-Seiten, die von Drittanbietern und Marketing-Agenturen in der Cloud gehostet werden.