„Hackerangriff legt RWE-Website lahm!“ „Daten von 380 000 British Airways-Kunden gestohlen!“ „Online-Banking von Hackern unterbrochen!“ Solche und ähnliche Schlagzeilen gehören längst zur Tagesordnung. Immer häufiger werden Webshops, E-Banking-Portale oder Unternehmens-Webseiten von Hackern geknackt. Für die Unternehmen bedeutet das nicht nur Umsatzverluste: Wenn Passwörter oder andere sensible Daten gestohlen wurden, führt dies meist auch zu einem immensen Imageschaden. Erst kürzlich erlebte Facebook einen solchen Cyber-GAU: Nachdem Millionen Nutzerdaten von Hackern entwendet wurden, kehrten viele Mitglieder dem sozialen Netzwerk den Rücken und löschten ihren Account.
Tor zu neuen Geschäftsmodellen
Die meisten Angriffe auf Webanwendungen verlaufen weit weniger spektakulär. Völlig unbemerkt von der Öffentlichkeit, verlieren Unternehmen dadurch tagtäglich hochsensible Daten an Dritte. Denn Webanwendungen sind in einer stetig wachsenden Zahl von Unternehmen Teil der internen und externen Geschäftsprozesse. Hinzu kommen Webdienste, die als Backend für Mobilgeräte dienen und die Kommunikation zwischen Maschinen ermöglichen.
Gegenüber herkömmlichen Desktoplösungen haben Webanwendungen immense Vorteile: Programme müssen nicht auf den Rechnern der einzelnen Mitarbeiter installiert und ausgeführt werden. Stattdessen liegen sie auf einem zentralen Webserver ab und werden dort gepflegt und aktualisiert. Der Zugang zu den Webanwendungen läuft über den Browser. Die Programme können also jederzeit von überall und von jedem Gerät aus genutzt werden. Webanwendungen sind zudem das Tor zu neuen Geschäftsmodellen, wie E-Banking, Online-Shops oder Kommunikation zwischen Maschinen in einer Industrie 4.0-Umgebung.
Webanwendungen anfällig für Sicherheitslücken
Das Problem: Webanwendungen sind für Hacker leicht zu knacken. Denn das Web, speziell das Protokoll HTTP und auch das etwas sicherere HTTPS, wurden nicht für die heute üblichen komplexen Anwendungen konzipiert. Schwachstellen lassen sich bei der Entwicklung kaum vermeiden. Vor allem sehr komplexe Anwendungen sind anfällig für Sicherheitslücken.
Das gilt aber auch für „08/15“-Shopping-Software. Aus Kostengründen wird die IT-Sicherheit hier oft vernachlässigt. Erst ein nachträglich installierter Patch kann die Lücke schließen. Vorausgesetzt, der Entwickler existiert noch und stellt es zeitnah zur Verfügung. Mit jeder Erweiterung geht das Risiko allerdings wieder von vorne los.
Cyberkriminelle nutzen diese Sicherheitslücken gnadenlos aus. Sie fügen beispielsweise schadhafte Skripte ein, um Passwörter aufzuzeichnen. Mit einer solchen sogenannten „Cross Site Scripting“-Methode wurde auch das Buchungssystem von British Airways attackiert und Daten von Hunderttausenden Kunden entwendet. Datenbanken zu den beliebtesten Angriffszielen von Hackern. Denn sie halten große Mengen wertvoller Information in konzentrierter Form bereit. Einen einfachen Zugang erhalten Angreifer über Fehler in der Datenbanksprache SQL. Durch das Einschleusen einer SQL-Anweisung (SQL-Injection) können Hacker Befehle direkt an die dahinterliegende Datenbank senden und Zugriff auf die Daten gewinnen.
Netzwerk-Firewall ist machtlos
Die Bedrohung ist vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, solche Angriffe zu stoppen. Zwar stellen Firewalls sowie Intrusion-Detection- oder Prevention-Systeme meist die erste Verteidigungslinie im Unternehmen gegen Cyberangriffe aus dem Internet dar. Daher sollten sie beim Sicherheitskonzept auf keinen Fall fehlen. Doch gegen Angriffe, die darauf abzielen, Internetdienste zu blockieren oder zum Ausfall zu bringen, helfen sie kaum.
Bei sogenannten DDoS-Angriffen ist sogar die Netzwerk-Firewall selbst im Visier des Angriffs: Dabei nutzen die Kriminellen gekaperte Rechner, Geräte und Netzwerke, um massive Anfragen an das Netzwerk zu stellen. Die Flut eingehender Nachrichten erzwingt eine Abschaltung des Systems und somit auch aller über dieses System bereitgestellten Dienste.
Web Application Firewall
Mit speziellen Schutzmechanismen lassen sich die Gefahren auf Webebene minimieren: Kern eines Sicherheitssystems ist eine „Web Application Firewall“ (WAF). Eine WAF analysiert den Datenaustausch zwischen Clients und Webservern. Sie prüft alle eingehenden Anfragen und Antworten an und vom Webserver. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die bspw. durch sogenannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hijacking“ und andere Arten von Webangriffen ausgeführt werden. Eine WAF kann auch DDoS-Angriffe stoppen. Dazu nutzt sie ein sogenanntes Scoring-Modell. Nimmt man als Schwellenwert z.B. die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen.
Vulnerability Scanning
Da jede Webanwendung Sicherheitslücken aufweisen kann, sollte sie regelmäßig auf Schwachstellen geprüft werden. Vor allem dann, wenn sie eine firmeneigene Entwicklung ist. Dann lässt sich ein Patch entsprechend nachentwickeln. Bei externen Anwendungen von SAP, Microsoft oder Oracle ist man darauf angewiesen, dass ein Patch zur Verfügung gestellt wird. Moderne WAFs haben einen integrierten Vulnerability Scanner. Wichtig: Eine Anwendung ist nur bei selbst entwickelten und gekauften Webanwendungen erlaubt.
Virtual Patching
Für noch mehr Sicherheit sorgt ein „Virtual Patching“: Wird eine Schwachstelle gefunden, sendet der Vulnerability Scanner einen Bericht zur Web Application Firewall. Diese behebt die Schwachstelle mittels eines virtuellen Patch auf Application Firewall-Ebene. Von der Identifikation bis zur Behebung vergehen bei diesem Prozess lediglich wenige Stunden. Der virtuelle Patch dient als Überbrückung bis ein Patch zur Verfügung steht – er kann aber auch dauerhaft genutzt werden.
Unternehmen, die eigene Webapplikationen entwickeln, können den Vulnerability Scanner auch während der Entwicklung einsetzen. Auf diese Weise erhalten sie direkt Feedback und können die Ergebnisse entsprechend berücksichtigen, um Sicherheitslücken von vornherein zu umgehen. Es empfiehlt sich, eine Testumgebung für die Webapplikation einzurichten. In dieser Testumgebung sollte auch der Vulnerability Scan laufen und auch neue Patches sollten hier zunächst aufgespielt werden. Auf diese Weise ist sichergestellt, dass die reale Anwendung keinen Schaden nimmt.
Autor: Walter Schumann
Senior Vice President Sales & Marketing,
Rohde & Schwarz Cybersecurity
