Obwohl es sich inzwischen herumgesprochen hat, dass Web-Applikationen das derzeit beliebteste Einfallstor für Hacker sind, halten sich auch unter erfahrenen Administratoren und Security-Dienstleistern hartnäckig einige Fehleinschätzungen. Cyrill Osterwalder von der Phion AG klärt hier auf. Der Web-Security-Spezialist nennt die sieben häufigsten Fehler bei der Absicherung von Web-App.
1. Kein Zugang zu internen Systemen über Web-Apps
Zielgerichtete oder professionelle Datenzugriffe laufen oftmals im Verborgenen und über verdeckte Pfade ab - gerade Web-Applikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Dies ist kein Wunder, da Web-Applikationen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Waren früher sensible Daten und kritische Transaktionen erst hinter mehrfachen Verteidigungslinien abrufbar, bieten Web-Applikationen heute direkte Zugriffe bis hin zu den wichtigsten Informationen eines Unternehmens. Nirgends sind Hacker daher so nah am gewünschten Ziel wie bei den Web-Applikationen. Nur eine Schwachstelle auf irgendeiner Ebene genügt, um erfolgreich zu sein.
Anders als früher sind deshalb zielgerichtete Informationsdiebstähle an der Tagesordnung. Es werden keine Exploits mehr geschrieben, die Sicherheitslücken von beliebigen Zielen ansteuern, sondern ein interessantes Ziel wird mit technischen Manipulationen bewusst aus dem Tritt gebracht, bis die gewünschten Daten extrahiert werden können. Schon die klassischen Manipulationsmethoden wie Forceful Browsing, Cross-Site-Scripting, SQL/Command Injections oder die Ausnutzung von Business-Logik-Schwächen führen bei drei Viertel aller Web-Applikationen zum Erfolg.
Diese zielgerichteten Datenzugriffe sind nicht über die Signatur erkennbar und kein reaktiver Sicherheitsschutz wie ein IDS (Intrusion Detection System) oder IPS (Intrusion Prevention System) kann sie verhindern. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nicht nur die Daten in Gefahr sind, welche die Web-Applikation selbst verwendet. Alle an die Web-Applikation angeschlossenen Systeme und Schnittstellen sind potenziell betroffen. Es ist nicht unüblich, dass über eine vermeintlich harmlose Web-Applikation, wie zum Beispiel eine Hilfeseite oder ein Firmen-Telefonbuch, die gesamten internen Unternehmensdaten gestohlen werden können.
Die Verbreitung von solchen Angriffen auf der Applikationsebene hat durch die populäre Web 2.0-Technologie noch zugenommen. Diese hoch dynamischen Web-Applikationen, welche Inhalte von anderen Benutzern tausendfach verteilen, werden immer häufiger von organisierten Cybercrime-Gruppen verwendet. Dass dieses Problem ernst genommen werden muss, belegt ein aktueller Sicherheitsreport zur Cyberkriminalität (Sophos-Security Threat Report - July 2009). Darin wird berichtet, dass rund 25 Prozent aller Unternehmen bereits einmal verschiedenen Attacken zum Opfer gefallen sind, die von Web-2.0-Sites wie Twitter, Xing, MySpace oder Facebook ausgingen.