Web Application Firewalls

Usability als Security-Treiber

Walter Schumann ist Vice President Sales & Marketing bei der Rohde & Schwarz Cybersecurity GmbH. Zuvor war er in leitenden Positionen internationaler IT-Sicherheitsunternehmen tätig, zuletzt verantwortete Schumann das Vorstandsressort Vertrieb und Marketing bei der G DATA Software AG.
Bisher gestaltete sich die Konfiguration von Web Application Firewalls diffizil. Das soll sich nun ändern.

Webanwendungen sind ein beliebtes Ziel für Hackerangriffe: Sicherheitslücken lassen sich hier nur schwer vermeiden und Firewalls auf Netzwerkebene können http- oder https-Protokolle nicht umfassend schützen.

Nur mit einer Web Application Firewall lassen sich solche Angriffe aufspüren und abwehren. Für deren Konfiguration waren Profis bislang unabdinglich. Neue Ansätze sollen Web Application Firewalls (WAF) nun nicht nur sicherer, sondern ihre Handhabung auch deutlich einfacher machen.

Neue Methoden sollen Web Application Firewalls auch Nicht-Spezialisten zugänglich machen.
Neue Methoden sollen Web Application Firewalls auch Nicht-Spezialisten zugänglich machen.
Foto: Andrea Danti - shutterstock.com

Warum Web-Application-Sicherheit essenziell ist

Ob SAP, SharePoint, Outlook Web Access oder CRM-Applikationen: Webanwendungen sind aus dem Geschäftsleben nicht mehr wegzudenken. Hypertext Transfer- und Hypertext Transfer Secure-Protokolle - kurz http und https - kommen bewusst oder unbewusst in fast jedem Unternehmen zum Einsatz. Sie bilden die Grundlage für innovative digitale Prozesse in sämtlichen Branchen. Die Sicherheit von Webanwendungen geht daher längst nicht nur die Betreiber von Onlineshops und Banking-Portalen etwas an. Laut dem Open Web Application Security Project (OWASP) nutzen große Unternehmen aktiv im Schnitt bis zu 100 Applikationen. Auch im Mittelstand und in kleinen Unternehmen gehören sie längst zum Standard. Hinzu kommen Webdienste, die als Backend für Mobilgeräte dienen und die Kommunikation zwischen Maschinen ermöglichen.

Für kriminelle Hacker sind Webanwendungen und Webdienste leicht zu überwinden. Denn das Web - speziell das Protokoll http und auch das etwas sicherere https - wurden nicht für die heute üblichen, komplexen Anwendungen konzipiert. Deshalb lassen sich Schwachstellen kaum vermeiden. Demnach steigt die Zahl der durch Angriffe auf Webanwendungen verursachten Datenlecks laufend. Verursacht werden sie beispielsweise durch sogenannte SQL-Injections: Der Angreifer nutzt hierbei eine Sicherheitslücke in SQL-Datenbanken aus, in die er eigene Befehle einschleust, wodurch unter anderem Daten ausgespäht oder manipuliert werden können. Ebenfalls ist es über einen entsprechenden Befehl möglich, die Kontrolle über einen Server zu erlangen.

Zu den gängigsten und gefährlichsten Schwachstellen in Webanwendungen zählt das Cross-Site Scripting (XSS). Hier schleusen Hacker ein schadhaftes Skript - meist JavaScript - in eine Webanwendung ein, ohne dass dieses überprüft wird. Damit ist es im nächsten Schritt möglich, die bösartigen Skripte auf dem PC eines Anwenders auszuführen, zum Beispiel indem der Nutzer auf einen Link klickt. Ziel ist es in den häufigsten Fällen, Benutzerdaten abzugreifen.

Mit WAFs empfindliche Strafen vermeiden

Die Folgen solcher Angriffe sind gravierend: Wichtige Unternehmens- oder Kundendaten können dabei zerstört oder gestohlen werden. Fallen Letztere in die Hände von Kriminellen, kann das nicht nur zu Imageschäden führen. Ab dem 25. Mai 2018 kann es zudem richtig teuer werden: Die EU-Datenschutzgrundverordnung (DSGVO/GDPR) sieht empfindliche Strafen vor, wenn personenbezogene Daten nicht richtig geschützt werden.

Wer Angriffe auf Webanwendungen abwehren will, braucht allerdings eine spezielle Web Application Firewall. Denn nur WAFs, die im http- beziehungsweise https-Protokoll auf der Anwendungsebene verkehren, können Daten überprüfen. Eine WAF wird als Reverse Proxy installiert und kann deshalb den gesamten Datenaustausch zwischen Clients und Webserver analysieren - verdächtige Inhalte sondert sie aus. Da die meisten Webanwendungen heute verschlüsselt sind, sind moderne Web Application Firewalls auch in der Lage, SSL-verschlüsselten Datenverkehr zu überprüfen.

Eine WAF bietet Schutz vor SQL-Injections, Cross-Site Scripting und vielen weiteren Webangriffen. Entscheidend für die Qualität und Wirksamkeit des Schutzes, ist dabei die Art und Weise, wie die WAF bösartige Eindringlinge erkennt. Hierzu stehen verschiedene Methoden zur Verfügung, verbreitet ist das sogenannte White- oder Blacklisting. Hierbei werden wiederkehrende Angriffsmuster gelistet und geblockt. Solche Listen führen jedoch häufig zu False-Positive-Meldungen: Bedrohungen werden erkannt, wo gar keine sind.

Web Application Firewall, aber richtig!

Kommen unpräzise Methoden zum Einsatz, summiert sich die Anzahl der Alarmmeldungen schnell auf mehrere Hundert pro Tag. Somit würde eine Web Application Firewall eher Mehrarbeit, als Vorteile generieren. Nicht selten wird sie deshalb wieder deaktiviert. Zwar lässt sich die Detektion bösartigen Datenverkehrs mit bestimmten Konfigurationsmethoden optimieren - allerdings nur durch Spezialisten, die über entsprechendes Spezialwissen verfügen. Gerade kleine und mittlere Unternehmen stoßen hier oft schnell an ihre Grenzen.

Inzwischen gibt es aber auch neue Konfigurationsmethoden, die die Zahl der Fehlalarme erheblich reduzieren, ohne dass zuvor komplexe Einstellungssessions stattfinden müssen. Das sind die wichtigsten neuen Methoden:

  1. Verhaltensbasierte Technologien und Workflow-Konzept: Statt Datensätze nur aufzulisten, werden Internetbedrohungen anhand ihrer Aktivitäten und spezifischen Verhaltensweisen identifiziert. Dafür kommen logische Prinzipien zum Einsatz, mit denen der Ablauf der Web-Application-Anfrage exakt charakterisiert wird. Durch diese automatische Präzisierung der Daten sind aufwändige Voreinstellungen durch den IT-Administrator nicht mehr nötig. Auch Mitarbeiter ohne Spezialwissen können die Web Application Firewall installieren und diese erfüllt in der Folge einen hohen Sicherheitsstandard. Gleichzeitig erhalten erfahrene Administratoren neue Möglichkeiten, die richtige Sicherheitsstufe einzustellen. Denn der auch als "Workflow-Konzept" bezeichnete Ansatz liefert eine visuelle und logische Perspektive auf den Datenfluss. User gewinnen dadurch ein besseres Verständnis für die Abläufe bei der Übermittlung einer Anfrage.

  2. Scoring-Modell: Verschiedene Elemente eines an die Webanwendung gesendeten Datensatzes werden beim Scoring-Modell unterschiedlich gewichtet. Die Summe dieser Gewichtung wird von der Web Application Firewall berechnet und mit einem festgelegten Schwellenwert verglichen. Wenn dieser Schwellenwert erreicht ist, stuft sie den Datenverkehr als schädlich ein und blockiert ihn. Mit Scoring-Modellen lassen sich beispielsweise Denial of Service (DoS)-Angriffe verhindern. Nimmt man als Schwellenwert zum Beispiel die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen.

  3. Advanced Threat Detection: Angriffsarten werden immer ausgefeilter. Um sie aufzuspüren, werden besonders starke Sicherheitsmechanismen benötigt. Advanced-Threat-Detection-Lösungen sind speziell auf solche schwierigen Fälle ausgerichtet. Sie nutzen zum Beispiel sogenannte Sandboxing-Technologien, mit denen sich schützenswerte Bereiche komplett isolieren lassen.

Authentifizierung ohne WAF-Erschwernisse

Auch die Authentifizierung spielt für die Sicherheit einer Webanwendung eine entscheidende Rolle. Nicht-autorisierten Personen wird der Zugriff auf die Anwendung verwehrt. Dafür muss eine Web Application Firewall in der Lage sein, den Anmeldeprozess und die Authentifizierung einer Webanwendung zu überwachen. Allerdings ohne dabei den Zugriff zu erschweren.

Das gelingt nur, wenn hinter einer Anmeldung über Single Sign On weitere starke Authentifizierungsmethoden gruppiert werden. Der User kann mit einer einmaligen Authentifizierung an seinem Arbeitsplatz auf alle Rechner und Dienste zugreifen. Wenn diese Authentifizierung erfolgreich war, führt die WAF weitere Authentifizierungen bei der Nutzung der jeweiligen Anwendung durch - ohne dass der User dies bemerkt. Diese Technologien ermöglichen ein ausgeglichenes Verhältnis von Usability und Sicherheit bei Web Application Firewalls. (fm)