Web Application Firewalls

Wächter der Compliance

| Autor / Redakteur: Swjatoslav Cicer, GZIS / Dr. Andreas Bergler

Web Application Firewalls schützen auch im Sinne des Telemediengesetzes.
Web Application Firewalls schützen auch im Sinne des Telemediengesetzes. (Bild: bluebay2014 - stock.adobe.com)

Dass IT-Sicherheit ein sehr wichtiges Thema ist, wissen wir nicht erst seit dem WannaCry-Vorfall. Dieser hat aber noch einmal deutlich gemacht, dass bei vielen Firmen IT-Sicherheit stark vernachlässigt wird.

Seit Anfang 2016 steigt die Anzahl der Angriffe mit Cryptotrojanern und neuen Ransomware-Varianten exponentiell. Der Grund: Dies ist leider ein sehr lukratives Geschäft für Cyberkriminelle. Mehr als eine Milliarde US-Dollar erpressten Hacker damit laut FBI allein im Jahr 2016.

Schlecht gepatchte und ungeschützte Webseiten, die auf bekannten Content-Management-Systemen wie zum Beispiel Wordpress oder Joomla basieren, sind ein leichtes Ziel für Cyberkriminelle und werden so ungewollt zum Verteiler von Spam und Cryptotrojanern. Laut Bitkom rangieren infizierte Webseiten und webbasierte Schadsoftware unter den Top 3 der Gefahren im Internet.

Gesetzgeber verlangt mehr Sicherheit

Der Gesetzgeber hat das auch erkannt und bereits im Juli 2015 mit der Einführung des neuen IT-Sicherheitsgesetzes die Anforderungen des §13 Abs. 7 Telemediengesetz angepasst. Alle Gewerbetreibenden sind nun verpflichtet, ihre Webdienste nach aktuellem Stand der Technik zu schützen. Was können nun die Betreiber neben neuen Updates tun, um ihre Webpräsenzen derart zu sichern? Den besten Schutz nach dem aktuellen Stand der Technik bietet momentan nur eine Firewall, die speziell für den Schutz von Web-Anwendungen entwickelt wurde, die sogenannte Web Application Firewall (WAF). Diese schützt Webseiten und Online-Shops proaktiv gegen Hacker und die Ausnutzung von Sicherheitslücken durch SQL Injections, XSS Forgery, Brute Force oder Schwachstellenscannern.

Insbesondere für kleine und mittlere Unternehmen (KMU) stellt dies eine Herausforderung dar, da sie meistens kein Personal mit IT-Security Knowhow haben und auch kein Budget, um teure und komplexe Hardware-WAF-Lösungen zu betreiben und qualifizierte IT-Security Consultants für die Konfiguration und Verwaltung zu bezahlen. Eine cloudbasierte WAF kann hier helfen.

Cloudbasierte Web Application Firewalls

Das wichtigste Argument für eine solche Firewall, die den KMU „as a Service“ angeboten wird, ist die sehr einfache Konfiguration, für die kein IT-Security Knowhow erforderlich ist, da das Management von einem externen Expertenteam übernommen wird. Lösungen dieser Art werden meist mit Zusatzfunktionen wie DDoS-Schutz, Beschleunigung der Ladezeit, Antivirus – Blacklist-Scans und weiteren Sicherheitskomponenten angeboten. Diese All-in-One Web-Security Suites bieten ein unschlagbares Preis-Leistungs-Verhältnis und können von Unternehmen jeder Größe auch mit kleinerem Budget eingesetzt werden.

Für die Web Application Firewall gibt es zwei grundlegende Architekturen. Zum einen den zentralisierten Ansatz, bei dem die WAF hinter der Netzwerk-Firewall und vor dem Webserver platziert ist, und der gesamte Datenverkehr durch sie hindurch geleitet wird (Reverse-Proxy Mode). Im zweiten Ansatz ist die WAF Host-basiert und als zusätzliche Software direkt auf dem Webserver installiert. Die zentralisierte Architektur stellt üblicherweise höhere Leistungsansprüche, da solche WAFs anders als bei einem dezentralen Konzept meist mehr Anwendungen schützen müssen.

Moderne Web-Application Firewalls werden oft am Anfang im sogenannten „Learning-Mode“ betrieben. In diesem Modus greift die WAF nicht aktiv in den Verkehr ein, sondern beobachtet, wie sich die Applikation und die interagierenden Nutzer verhalten, um die Abwehrmaßnahmen individualisiert auf die jeweilige Anwendung auszurichten und feinzutunen. Auch Anomalien können so später von der WAF besser und schneller erkannt werden.

Ergänzendes zum Thema
 
Der Autor
Proaktiver Webseitenschutz aus einer Hand!

Security-Startups im Blickpunkt: Net Wächter

Proaktiver Webseitenschutz aus einer Hand!

23.06.17 - Webseiten sind das Aushängeschild jedes Unternehmens und immer öfter auch das wirtschaftliche Zentrum. Cyberkriminelle nutzen das gerne aus um Geld zu erpressen, Malware zu verteilen oder Rufschädigung zu betreiben. Das Startup Net Wächter bietet Unternehmen deshalb einen umfassenden Webseitenschutz an, der nicht nur einen konkurrenzfähigen Preis hat, sondern zusätzlich noch ein interessantes „Bonbon“ bietet. lesen

„Made in Germany“

Für deutsche Unternehmen ist dabei sehr wichtig, hier auf innerdeutsche Lösungen zu setzen, die „made and hosted in Germany“ sind, also den nationalen Gesetzen und insbesondere dem Bundesdatenschutzgesetz unterliegen. Einen vollwertigen WAF-Schutz bietet in Deutschland beispielsweise das Unternehmen GZIS mit Net Wächter an. Während einer kostenlosen, 14-tägigen Testperiode kann jeder seine Webpräsenz zusätzlich mit einem professionellen Web-Schwachstellenscanner vom weltweit führenden Anbieter Acunetix nach Sicherheitslücken untersuchen lassen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44927383 / Firewalls)