Studie: Die meisten Web-Sites sind verwundbar

22.03.2007
Mangelndes Fachwissen lässt Unternehmen beim Schutz vor Bedrohungen auf Applikationsebene schludern. Zu diesem Schluss kommt ein aktueller Report von Forrester Research.

Den meisten Firmen sei nicht einmal bewusst, dass eine herkömmliche Netz-Firewall nicht vor Attacken auf Applikationsebene schützen könne, bemängeln die Marktforscher. Die Forrester-Studie unterscheidet zwischen der traditionellen Firewall, die Datenpakete inspiziert, und dedizierten Web-Application-Firewalls (WAFs), die Paketflüsse beziehungsweise Sessions mit Web-Servern inspizieren. Vielen Unternehmen sei dieser Unterschied nicht klar, so der Report "Web Application Firewall Forecast: 2007 bis 2010".

Das mangelnde Wissen könnte Unternehmen angesichts ihrer offenbar vor Löchern strotzenden Web-Applikationen teuer zu stehen kommen: Symantecs jüngstem Internet-Sicherheitsbericht zufolge, der Bedrohungen in der zweiten Jahreshälfte 2006 beleuchtet, sollen sich immerhin 66 Prozent der von Juli bis Dezember 2006 ermittelten Schwachstellen auf Web-Anwendungen bezogen haben.

Ein wachsendes Bewusstsein für Web-Application-Threats erwarten die Forrester-Auguren allerdings spätestens mit der Einführung der PCI-Datensicherheitsstandards (Payment Card Industry), so die Auguren. Diese sollen für den Schutz etwa von Kreditkartendaten und anderen persönlichen Informationen bei Online-Transaktionen sorgen. Laut Forrester schreiben die PCI-Standards als eine von zwei Optionen zum Schutz vor Angriffen auf Web-Applikationen WAFs vor. Alternativ seien die einzelnen Web-Anwendungen auf Sicherheitslecks zu überprüfen und diese gegebenenfalls zu beheben, so die Studie.

Ab Mitte 2008 müssen Unternehmen die PCI-Standards erfüllen. Bis dahin, so die Forrester-Prognosen, wird nicht nur das Know-How hinsichtlich der Sicherheit von Web-Anwendungen beziehungsweise WAFs wachsen, sondern auch die Nachfrage nach dieser Firewall-Spezies sowie der darüber erzielte Umsatz steigen.

Bis Mitte 2008 dürften sich laut Report viele Firmen Stand-Alone-WAFs zulegen. Allerdings geht Forrester davon aus, dass anderes Equipment wie Application-Acceleration-Plattformen oder Rund-um-Security-Appliances die Funktionen der WAF-Boxen nach und nach absorbieren. Analog dazu sei zu erwarten, dass einige WAF-Anbieter von größeren Networking-Firmen geschluckt und die Preise entsprechend sinken werden. Zu den führenden WAF-Anbietern zählt Forrester Breach Security, Citrix Systems, F5 Networks, Imperva, NetContinuum sowie Protegrity. (kf)