Wenn man heute Verantwortliche danach fragt, wie sie ihre IT-Applikationen gegen Angreifer sichern, fallen durchweg Begriffe wie Firewall, Virenschutz, Verschlüsselung, Virtual Privat Network oder auch mal Intrusion Detection. Dabei wird übersehen, dass es sich bei all diesen Maßnahmen und Werkzeugen um die Sicherung der Netzinfrastruktur handelt und nicht um die Sicherung der Applikation im eigentlichen Sinne.

Denn letztlich muss jeder Infrastrukturschutz einen erlaubten Kommunikationsverkehr mit der Applikation zulassen, damit sie überhaupt benutzt werden kann. Nutzer und Experten nehmen hier eine rasant zunehmende Häufigkeit gepaart mit einem enormen Einfallsreichtum von Angriffen wahr, die genau diesen erlaubten Verkehr ausnutzen und die Applikation direkt angreifen. Nachdem die Netzwerklöcher weitgehend gestopft sind, sehen wir uns einer neuen Klasse von Sicherheitsproblemen gegenüber, den Application Security Leaks.

Betroffen sind vor allem Webapplikationen und Portale, aber auch Web Services, jene Komponenten, die als eine Art Mini-Webserver unternehmensübergreifende Applikations- und Prozessintegration ermöglichen. Sowohl Webapplikationen als auch Web Services Anwendungen befinden sich nach wie vor in einer Phase überdurchschnittlichen Wachstums, was Anzahl, Komplexität und die Integration angeht.

Die Methoden der Angreifer sind vielfältig und kreativ, inzwischen aber auch gut dokumentiert. So findet sich etwa auf der Homepage des Open Web Application Security Project, kurz OWASP eine Art Lexikon bekannter Applikationssicherheitslöcher. Eine Auswahl sei hier aufgelistet:
  • SQL Injection

  • Cross Site Scripting (auch: Code Injection, CSS, XSS)

  • Hidden Field Exploits

  • Parameter Tampering

  • Cookie Poisoning

  • Wild Browsing

  • Fail Open Programmierfehler
Im Prinzip handelt es sich dabei um Nächlässigkeiten in der Softwareentwicklung, weil man hier noch der Meinung ist, eine Webanwendung sei durch Voranstellen einer Firewall ausreichend gesichert. Dass dem nicht so ist, belegen Fälle wie der Einbruch in ein Diskussionforum mittels SQL Injection, das sehr wohl durch Firewall und IDS geschützt war.

Warum hört man nicht mehr von solchen Fällen? Weil immer nur einzelne Sites betroffen sind und nicht - wie im Falle von Würmern oder Viren - die ganze Internetgemeinde. Und die Geschädigten schweigen sich gerne über die Ursachen des Einbruchs aus. Was nicht heißt, dass die Folgen weniger katastrophal wären:
  • Übernahme der Applikation, des Webservers oder der ganzen Maschine mit Administratorrechten

  • Auslesen und Modifizieren von Daten wie Kunden- und Kreditkarteninformationen, etwa aus Onlineshops

  • tehlen und Übernahme von Kundenaccounts, etwa in Webmailystemen, Onlineshops, Auktionssites oder CRM-Systemen

  • Unbemerkte Kaufpreismodifikation in Onlineshops durch den Angreifer ...
Leistungen im Detail:
  • Applikationsaudits und Penetrationstests: Durchleuchten ihrer Webapplikation
  • Code Reviews unter Security Gesichtspunkten
  • Unterstützung bei der Definition der Software-Sicherheitsanforderungen gegenüber Ihrem IT Dienstleister
  • Sensibilisierung und Schulung Ihres IT Personals und Managements (IT Security ist Chefsache!)
Leistungen für Softwareunternehmen und -entwickler:
  • Analyse, Design & Entwicklung sicherheitsrelevanter Applikationen oder Applikationsmodule

  • Schulung und Coaching von Entwicklerteams und Management

  • Definition und Einführung der Web Application Security in den Softwareentwicklungsprozess und das Qualitätsmanagement
Referenzprojekte (1 2) zum Thema Web Application Security.