:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Web Application Firewalls Für Angriffe auf Web-Anwendungen gerüstet
Rund 75 Prozent der Cyberattacken zielen heute auf IT-Anwendungen sowie die sie tragenden Protokolle. Dennoch investieren Unternehmen circa 90 Prozent ihres IT-Security-Budgets in Standardlösungen, die lediglich auf den Netzwerkebenen greifen. Abhilfe schafft eine Web Application Firewall, die darauf spezialisiert ist, Angriffe auf Anwendungsebene abzuwehren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Webapplikationen sind im Geschäftsleben allgegenwärtig. Umso wichtiger ist es, dass Sicherheitsverantwortliche einen Überblick haben, wie ihre Anwendungen attackiert werden, um sich so auf kommende Angriffe vorzubereiten. Administratoren benötigen dafür eine Sicherheitslösung, die auf Applikationsebene ansetzt.
In deutschen Unternehmen sind größtenteils Standardlösungen von verschiedenen Anbietern im Einsatz, die häufig nicht aufeinander abgestimmt sind. Doch gegen die Vielzahl und Vielfalt an Cyber-Attacken, die heute überwiegend auf Webapplikationen und die entsprechenden Protokolle zielen, bieten Standardmechanismen keinen ausreichenden Schutz.
Enterprise-, Netzwerk- oder Perimeter-Firewalls am Eintrittspunkt zum Rechenzentrum erfüllen eine „Pförtneraufgabe“. Dort prüfen sie nach einfachen Kriterien, ob der Zugang zum Netzwerk berechtigt ist oder nicht. Diese Schutzwälle stoßen jedoch schnell an ihre Grenzen, wenn es um die Sicherheit von Applikationen geht. Die Standard-Firewall endet meist auf Netzwerkprotokollebene, sie erkennt die IP-Adresse beziehungsweise die Webapplikation, die jemand versucht aufzurufen, und entscheidet danach, ob ein Nutzer zugriffsberechtigt ist oder nicht.
Mehr Granularität in Bezug auf die Inhalte der Webapplikation ist mit dieser Art von Firewall nicht möglich. Ein Schwachpunkt ist beispielsweise, dass eine Standard-Firewall verschlüsselten Content (beispielsweise HTTPS-Anfragen) durchlässt in der Annahme, dass diese sicher sind, und sich auf die dahinter liegenden Systeme verlässt. Quintessenz: Eine Sichtbarkeit der Bedrohungen ist auf Applikationsebene nicht gegeben.
Dem Feind ins Auge schauen
Um einen effektiven Schutz für Webapplikationen aufzubauen, ist es erforderlich, sich zunächst mit den verschiedenen Attack-Typen auseinanderzusetzen – und derer gibt es eine Vielzahl. Das Open Web Application Security Project (OWASP) informiert immer aktuell über die wichtigsten und häufigsten Attacken; zu den gängigsten gehören.
- SQL Injection: Mit dieser Methode wird versucht, sich durch Eingabe von gültigen SQL-Kommandos im Authentifizierungsfenster einer Webanwendung (Username, Passwort) uneingeschränkten Zugang auf alle Benutzerprofile zu verschaffen.
- Session Highjacking: Ist die Verbindung zum Webserver aufgebaut, erkennt der Webbrowser beziehungsweise die Webapplikation die Verbindung über die Session-ID, die oftmals in der URL angezeigt wird. Ein Hacker, der diese Session-ID ausspäht, kann mit der Identität des Nutzers auf die Session, für die er nicht authentifiziert ist, zugreifen und persönliche Daten verändern.
- Cross-Site-Scripting: Bei Webseiten mit dynamischem Content greifen Hacker in die Java-Skripte ein und verändern das Browser-Verhalten.
- DDoS-Attacken: Hier werden viele Verbindungen aufgebaut, aber nicht zu Ende geführt, beispielsweise durch TCP-SYN-Flood- oder HTTP-Slowloris-Attacken. Das angegriffene Gegensystem muss deshalb eine Vielzahl an offenen Verbindungen abwickeln, und irgendwann ist die Rechenkapazität ausgeschöpft, der Service oder das komplette System geht in die Knie, und die legitimen User Requests kommen somit nicht mehr durch.
Unternehmen müssen oftmals bestimmte regulatorische Auflagen erfüllen, zum Beispiel PCI (Payment Card Industry) Compliance. Die Sicherheit von Applikationen – und damit die Konformität mit solchen Sicherheitsrichtlinien – lässt sich auf zwei Arten überprüfen.
Entweder unterzieht man die Webapplikation einem Review im Hinblick auf die Sicherheit ihrer Codierung; so bekommt man einen Einblick, inwieweit Sicherheit bereits im Quellcode verankert ist. Dies ist allerdings ein recht aufwändiger Prozess. Oder man setzt alternativ eine Web Application Firewall (WAF) ein, die darauf spezialisiert ist, verschiedene Typen von Attacken auf die unterschiedlichen Webprotokolle wie HTTP sowie die begleitenden Programmier- und Auszeichnungssprachen wie Java oder XML zu erkennen, und somit das nötige Sicherheitsmaß auf Anwendungsebene schafft.
Funktionen einer Web Application Firewall
Nimmt man die Funktionsweise einer Web Application Firewall unter die Lupe, so ist zwischen zwei verschiedenen Fällen zu unterscheiden.
- Standard-Attacken: Eine WAF sollte in der Lage sein, die bekanntesten und immer wiederkehrenden Attacken über eine Signatur-Datenbank zu erkennen und abzublocken.
- Komplexe Attacken: Hier erfolgt die Abwehr über einen Eingriff in die Applikationslogik. Die WAF lernt Zugriffsarten auf Applikationen und die Unterscheidung zwischen Angriffen und legitimen Anfragen. Daraufhin macht die WAF einen Vorschlag und bekommt eine Rückmeldung, ob es sich tatsächlich um eine abzuwehrende Attacke handelt (Learning/Policy Engine). Mit diesem Prozess lassen sich auch False-Positives merklich reduzieren.
Die Web Application Firewall liefert idealerweise den Kontext, auf dessen Basis Administratoren Angriffsmethoden einordnen können. Grundlegend dafür sind unter anderem Enforcement und Reporting auf Session-Basis, mit deren Hilfe sich Angriffe nach Nutzern detailliert auswerten lassen. Die WAF vermeldet dann nicht nur, dass eine SQL Injection erfolgt ist inklusive Nutzername, sondern bringt darüber hinaus den Namen des Applikationsnutzers in Zusammenhang mit der Session und spezifischen Sicherheitsverletzungen.
Zudem kann eine WAF eingesetzt werden, um Web-Scraping, also das automatisierte Auslesen von Inhalten aus Webseiten, zu verhindern. Dies funktioniert folgendermaßen: Anhand verschiedener Kriterien wie Timing oder Wiederholungsrate kann die WAF zwischen automatischer und menschlicher Eingabe unterscheiden und den unerwünschten Zugriff verhindern.
Eine wichtige Funktion einer WAF ist auch die Gruppierung verschiedener Angriffe nach vorher festgelegten Kriterien. Beispielsweise können ämtliche Attacken, die von einer IP-Adresse stammen, zu einem einzigen Vorfall zusammengefasst werden. Auf Basis der dazugehörigen Geoinformationen lassen sich Black- und Whitelists definieren.
Ein Beispiel für die Monitoring-Möglichkeiten einer WAF: Ein Administrator kann sich die am häufigsten angegriffene URL des Unternehmens anzeigen lassen. Im Fall von Applikationsproblemen oder langsamem Seitenaufbau zeigen Statistiken die CPU-Auslastung für jeden einzelnen virtuellen Server, sodass Performance- und Kapazitätsprobleme schnell lokalisiert und behoben werden können.
Den effektivsten Schutz bildet eine integrierte Sicherheitslösung, die Schwachstellen-Scanner und Web Application Firewall vereint. Diese All-in-One-Plattformen bilden die Voraussetzung, damit Unternehmen ihren Nutzern jederzeit und überall sicheren, performanten Zugriff auf Webinhalte, -Dienste und -Applikationen bereitstellen können.
Fazit
Um sich wirklich wirksam gegen Cyber-Angriffe zu schützen, benötigen Unternehmen eine Lösung, die auch auf Applikationsebene ansetzt – Standard-Firewalls, die Angriffe lediglich auf Netzwerkprotokollebene sichtbar machen, greifen hier zu kurz. Statt für jede Art von Bedrohung einzelne Sicherheitslösungen zu implementieren, ist es sinnvoll, auf eine integrierte Sicherheitsplattform zu setzen, die alle Funktionen bündelt. Eine Kombination aus Scanner und Web Application Firewall wehrt unterschiedlichste Attackenformen ab, bevor sie auf die Unternehmensserver treffen.
* Ralf Sydekum ist Manager Field Systems Engineering DACH bei F5 Networks.
(ID:43131993)
:quality(80)/p7i.vogel.de/wcms/86/7f/867f700c8a458ca6b4d373f6b34317a7/0109124151.jpeg "Die Web Application and API Protection (WAAP) ist eine Sicherheitstechnologie zum Schutz von Webanwendungen und APIs. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/54/15/54156e959d342af4eadc20848d21188d/0110981865.jpeg "Radware bietet Anwendungsschutz vom Server bis zum Browser und den Clients. (Bild: Gerd Altmann)")