Webapplikationen – Die größten Risiken und wie sie vermieden werden können

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Webapplikationen – Die größten Risiken und wie sie vermieden werden können

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Webapplikationen bringen erhebliche Vereinfachungen in den geschäftlichen und privaten Alltag. Dabei spielen die funktionalen Anforderungen einer Anwendung in den meisten Fällen eine vorrangige Rolle. Die Sicherheit wird häufig vernachlässigt. Dadurch wird es Kriminellen leicht gemacht Angriffe zu initiieren und sensible Daten zu stehlen.Webbasierte Anwendungen, wie Online-Banking, Online-Shopping und soziale Netzwerke werden von immer mehr Menschen genutzt. Das „Netz“ ist ein fester Bestandteil des alltäglichen Lebens geworden, um Berufliches oder Privates zu organisieren. Und die Angriffe auf webbasierte Anwendungen haben Hochkonjunktur. Die Ergebnisse des IBM X-Force Annual Report 2008 zeigen, dass 55 Prozent aller Schwachstellen in Software oder Softwarekomponenten sich auf Webapplikation auswirken. Dabei lassen sich die meisten Angriffe in der Praxis in die Kategorien „Command-Execution“ und „Client-Side-Attacks“ unterteilen.

Command-Execution

Unter Command-Execution ist die Ausführung von Befehlen auf dem Web,- oder Applikationsserver oder den nachgelagerten Backendsystemen zu verstehen. In den meisten Fällen werden dabei SQL-Injection-Schwachstellen ausgenutzt. Diese ermöglichen es einem Angreifer, beliebige SQL-Abfragen in der jeweiligen Datenbank durchzuführen. In der Regel können die SQL-Injection-Schwachstellen darauf zurückgeführt werden, dass viele Webapplikation dynamische SQL-Abfragen durch die Eingabedaten des Benutzers generieren, ohne dabei die eingegebenen Parameter entsprechend zu überprüfen. Erfolgreiche SQL-Injection-Angriffe können weitreichende Folgen haben:

– Auslesen der gesamten Datenbankinhalte, die unter Umständen sensible Informationen enthalten können,

– vollständige Manipulation der Web-, Applikations,- und Backendserver sowie evtl. der gesamten Datenbestände,

– Einschleusen und Speichern von Schadsoftware, wie Viren und Trojaner, die bei einem Aufruf der Webapplikation den PC des Users infizieren können.

Client-Side-Attacks

Bei den Client-Side-Attacks wird die Webapplikation als Medium genutzt, um an sensible Daten des Users zu gelangen. Der eigentliche Angriff erfolgt dann auf dessen PC. Ein prominentes Beispiel solcher Angriffe ist das so genante Cross-Site-Scripting (XSS). Dabei wird ein eingeschleuster Script-Code im Browser des Users ausgeführt. Ein Link einer scheinbar vertrauenswürdigen Anwendung verleitet den unwissenden User zu einem Klick mit negativen Folgen. Mit dem Anklicken des Links wird eine vertrauenswürdige Webapplikation aufgerufen und gleichzeitig der Script Code des Angreifers an die Webapplikation versteckt gesendet. Falls die Webapplikation keine entsprechende Validierung der Rückgabedaten durchführt, gelangt der Script Code des Angreifers ungefiltert an den Web-Browser des Users, wo er dann im Kontext der Webapplikation ausgeführt wird.

XSS ist grundsätzlich immer dann möglich, wenn Benutzereingaben von der Webapplikation, wie beispielsweise einer Suchfunktion, verarbeitet werden. Am häufigsten werden diese Angriffe eingesetzt, um die Login-Daten eines Users oder andere Authentifizierungsmerkmale auszuspähen. In diesem Fall kann der Angreifer beispielsweise auf der Rechnung derjenigen, deren Daten ausgespäht wurden, einkaufen oder einen Zugang zum Online-Banking und somit zu Bankdaten und Transaktionsfunktionen erhalten.

Die beschriebenen Angriffsverfahren werden in der Praxis meist kombiniert angewandt und weisen verschiedene Variationen auf. Darüber hinaus ist es ein Trugschluss zu glauben, dass sich solche Angriffe nur auf die vermeidlich „dubiosen“ Webseiten beschränken. Sie können jede Webapplikation betreffen, die entsprechende Schwachstellen aufweist.

Es liegt in der Verantwortung der Unternehmen, die Webapplikationen anbieten, geeignete Maß;nahmen zum Schutz der User durchzuführen. Dabei geht es nicht nur um die Unternehmenssicherheit, sondern vielmehr um den Schutz derjenigen, die dem Unternehmen Vertrauen entgegenbringen und ihre Daten preisgeben. Meist sind Unternehmen gut beraten, die IT-Sicherheitsmaß;nahmen auf der Anwendungsebene zu verstärken, damit Schwachstellen erkannt und somit Angriffe verhindert bzw. ausgeschlossen werden können.

Um gegen Angriffe auf Webapplikationsebene gewappnet zu sein, sollten folgende Aspekte berücksichtigt werden:

– Bereits beim Designen und in der Entwicklung von Webapplikationen muss IT-Sicherheit ein integraler Bestandteil sein.

– Regelmäß;ige Überprüfung der Sicherheit durch toolgestützte Tests (Applikationscans und Penetrationtests) müssen durchgeführt werden.

– Web-Applikation-Firewalls (WAF) sollten sinnvoll eingesetzt werden.

– CERT-Dienste müssen genutzt werden und eine Reaktion auf die neusten Schwachstellen muss schnell erfolgen.

– Das Sicherheitsbewusstsein (Security Awareness) im Unternehmen und bei den Usern von Webapplikation muss gesteigert werden.

Dass Softwaresicherheit immer wichtiger wird verdeutlichen auch Initiativen wie das Zertifizierungsprogramm der (ISC)2 Certified Software Security Lifecycle Professional (CSSLP). Es reicht nicht mehr aus, lediglich die Funktionalität von Applikationen zu garantieren. .Denn die Anforderungen an die Sicherheit von Software – ganz besonders für Webanwendungen – nehmen zu.

Heute sind Webapplikationen aus unserem Alltag nicht mehr wegzudenken, da einige fast unverzichtbar geworden sind. Gleichzeitig nehmen bösartige Angriffe mittels „SQL-Injection“ und „Cross-Side-Scripting“ zu und richten Schaden sowohl für User als auch für Unternehmen an. Doch die meisten Bedrohungen ließ;en sich erfolgreich abwehren. Hierzu wäre es notwendig, dass Unternehmen, die Webapplikationen anbieten, ihre Verantwortung für die IT-Sicherheit auf der Anwendungsebene besser wahrnehmen und ihre Kompetenzen verstärken.

(Autor: Dr. Stefan Blum, (ISC)² zertifizierter CISSP, und Hendrik Vagts, IBM Global Business Services)

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Nicht nur Einkaufszentren und Geschäfte sind im Zuge der Corona-Krise geschlossen worden, viele Unternehmen haben auch ihre Büros vorübergehend geschlossen, um persönliche Kontakte zu minimieren. Daher werden geschäftliche Abläufe zunehmend in die Online-Kanäle verlagert. Hierfür ist es dringend notwendig, die Self-Services zu automatisieren.
Werbung
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage
Werbung

Aktuelle Ausgabe

Topthema: Social Commerce

Neue Trends im Onlinehandel

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.