Hacker haben eine neue Hintertür zu sensiblen Unternehmensdaten gefunden: Web-Anwendungen. Wo immer der Nutzer im Internet etwas eintippen darf, entsteht ein Sicherheitsrisiko - denn wer sich auskennt, bringt über diese Felder die Website unter seine Kontrolle.
So zeigen Webshops statt Produktlisten plötzlich die Kreditkartennummern aller angemeldeten Benutzer an, Preise lassen sich über das Internet ändern oder Datenbanken geben die Firmenumsätze der letzten Tage heraus. Da die Firewall davon nichts merkt, gibt es jetzt spezielle "Application Security Gateways", die die Eindringlinge stoppen sollen.
Wenn ein Nutzer Bücher von Hesse kaufen will, muss er sich im Online-Shop nicht durch den gesamten Katalog arbeiten. Er tippt einfach "Hesse" in ein Feld und klickt auf "Suchen". Die Web-Anwendung holt sich nun ihre Informationen aus der dahinter liegenden Datenbank, sie reicht die Suchanfrage ungeprüft nach hinten weiter, und bekommt eine Liste der Ergebnisse zurück.
Diese Arbeitsweise hat gleich mehrere Sicherheitslücken: Sobald der Nutzer eine Abfrage startet, kommen seine Daten über den offenen http-Port 80 ins Unternehmensnetz. Daten, die über diesen Port laufen, werden von den meisten Firewalls ignoriert, denn hier spielt sich der gesamte Internet-Verkehr eines Unternehmens ab. Die Firewall prüft allenfalls, ob die Pakete wirklich http-Pakete sind, um den Datenstrom möglichst ungehindert durchzulassen.
Weder Server noch Datenbank, noch Firewall schauen hingegen nach, ob die Eingabe unseres Nutzers überhaupt zulässig ist - ob sie zum Beispiel statt eines einfachen Wortes auch Ausrufezeichen, Hochkommata oder Semikolons enthält, wie es bei Programmbefehlen der Fall ist. Diese Nachlässigkeit nutzen Hacker aus und geben statt eines Suchwortes SQL-Befehlsketten ein - der gefürchtete "SQL-Injection"-Angriff. Der Server reicht diese SQL-Befehle klaglos an die Datenbank weiter - und diese gehorcht. Auf diese Weise kann der Hacker nicht nur alle möglichen Informationen bekommen, sondern unter Umständen sogar ändern - und seinen Hesse zum Nulltarif bestellen.Ebenso häufig überschreitet jemand einfach seine Zugangsberechtigung: Einmal eingeloggt, kann er mit ein paar einfachen Tricks auch auf Teile der Website zugreifen, auf die ein Außenstehender eigentlich keinen Zugriff haben sollte, zum Beispiel fremde Nutzerkonten oder geheime Daten. Auf Platz drei der häufigsten Angriffe auf Web-Anwendungen steht auf der Top Ten Liste des OWASP (Open Web Application Security Project) der Einbruch in die Sessions anderer Nutzer. Dazu ist oft nicht einmal Spezialwissen nötig: Im Fall der Firma Gateway reichte es bereits, die beim ersten Besuch lokal gespeicherten Cookies zu manipulieren, um an die Daten anderer Nutzer heranzukommen.
"Das Problem an sich ist, das Web-Anwendungen nicht ausreichend sicher programmiert sind", resümiert Stefan Strobel, Geschäftsführer von Cirosec, Security-Berater und Dienstleister in Heilbronn. Dahinter steht oft ein Zeit- und Geldproblem: Firmen wollen schnell online sein und stehen unter hohem Druck, den sie an die Software-Entwickler weitergeben. Diese würden die Anwendungen wohl genauer auf Sicherheitslücken testen, bekommen aber kein Budget dafür.
Im Nachhinein ist dann nicht mehr viel zu machen. Zum ersten ist es teuer, Applikationen zu prüfen. Dafür gibt es bereits Werkzeuge und Strobels Team nutzt hier Software von Kavado, Sanctum oder dem Marktführer Spydynamics. Dennoch bleibt vieles reine Handarbeit. Manche Schlupflöcher finden auch erfahrene Experten erst nach langem Suchen - und das ist teuer. Denn die Software prüft nur, ob Eingabefelder z.B. Semikolons und Anführungszeichen zulassen, ob man damit aber wirklich einbrechen kann, müssen die Techniker selbst herausfinden.
Ist dann einmal eine Aufgabenliste für den Programmierer erstellt, heißt das noch lange nicht, dass die Web-Anwendung in der nächsten Version wirklich sicher wird. Neuer Programmcode birgt auch wieder neue Fehler, so die Erfahrung von Strobel. Spätestens wenn eine Firma mehrere Web-Anwendungen einsetzt, die alle überprüft werden müßten, lohnt es sich, ein Security-Gateway zu kaufen.
"Es ist das gleiche Problem wie mit Microsoft und den Patches von Microsoft - sie haben nie auf jedem Server fehlerfreie Software", erklärt Strobel, "Also kaufen Sie lieber eine Box, die davor steht und trotzdem Sicherheit gewährt, das ist letztlich preisgünstiger."Application Security Gateways heißen die neuen Sicherheitsmechanismen, manche nennen sie auch Web Application Firewalls oder Web Application Security. Ihnen allen ist eines gemeinsam: Im Gegensatz zur Firwall, die auf Netzwerkebene in die Pakete hineinschaut, prüfen sie die Protokolle der Applikationen. Angefangen hat damit Check Point bereits voriges Jahr, als die Firewall-1 ihre neue "Application Intelligence Technology" bekam. Damals arbeiteten Hacker vor allem mit dem Speicherüberlauf - "Buffer Overflow". Mittlerweile gibt es jedoch von verschiedenen Organisationen Top Ten-Listen der häufigsten Angriffe auf Webapplikationen im Internet - und mit der zunehmenden Bedrohung drängt eine Reihe weiterer Firmen auf den Markt, die sich auf das Thema spezialisiert haben. Darunter auch die Firma Imperva, gegründet vom Check Point Gründer Shlomo Kramer. Obwohl Kramer derzeit viel Wirbel in Europa macht, ist das Rennen um die Marktführerschaft noch nicht entschieden: "Das sind alles Startups", meint Carsten Casper, Research Analyst bei der META Group, "und in Deutschland hört man momentan am häufigsten die Namen Kavado und Sanctum."
Web Application Security: Ableger von Proxy und IDS
Kavado und Sanctum bieten ihre Plattform als Reverse-Proxy an, der sich zwischen den Nutzer und die Web-Applikation setzt. Der Proxy prüft die Eingaben zuerst und reicht sie danach an die Applikation weiter. Sowohl die Software von Kavado als auch von Sanctum hat einen Lernmodus. Damit weiß der Proxy für jedes Feld exakt, was der Nutzer hier eingeben darf: Welche Werte sind erlaubt, wie lang darf eine Kundennummer sein oder welche URLs darf er auf der Seite ansurfen. Damit wird auch verhindert, dass vergessene Demo-Applikationen, die noch auf dem Server schlummern, in falsche Hände geraten. Die Software von Sanctum lernt all dies im laufenden Betrieb. Sie verfolgt jede einzelne Benutzer-Session: Geht ein Nutzer auf die Homepage eines Reiseveranstalters, dann weiß Sanctum sofort, worauf er als nächstes Klicken könnte, weil die Seite komplett über das Gateway geschickt und dort analysiert wird. Der Proxy ist also jederzeit darüber informiert, welche erlaubten Links der Nutzer auf der Seite findet. Versucht der Nutzer nun, einen unerlaubten Link anzusurfen, wird er blockiert. Da es sich um einen Proxy handelt, generiert er eine Seite mit der Mitteilung, dass hier wohl ein Fehler aufgetreten sei.
 Shlomo Kramer, Mitgründer von Check Point, macht mit der neuen Firma Imperva seinem alten Arbeitgeber Konkurrenz |
Durch diesen Hauptunterschied sind die beiden Firmen für unterschiedliche Szenarien interessant: Wer eine hochverfügbare, performante Lösung braucht, greift eher auf Kavado zurück, denn durch die feste Policy kann die Software unter Last schneller arbeiten. Zudem können zwei Server ihre Sessions untereinander austauschen und so ein hot-stand-by realisieren.
Sanctum hingegen ist schneller zu installieren und flexibler, wenn die Applikation noch viel entwickelt wird. Da sie aber jederzeit den Status jedes Nutzers weiß, müßte eine hochverfügbare Lösung diese Stati ständig austauschen, was die Software derzeit noch nicht kann. Problematisch wird es ebenfalls, wenn Seiten ihre Links aus Java-Scripten generieren: Der Anwender bekommt einen Link, den er nicht anklicken kann, weil Sanctum ihn nicht im HTML-Text gesehen hat und daher für verboten hält.Die Firma Imperva, ehemalige Webcohort, arbeitet mit einem anderen System, denn hier hat nicht der Applikation-Proxy, sondern das IDS-System Pate gestanden. Imperva kann wie ein Sniffer alle Applikationsprotokolle überprüfen oder als Bridge zwischen den Servern stehen und die Pakete mitlesen. Der Vorteil: Impervas Lösung bearbeitet und schützt reine Datenbankzugriffe auch wenn kein Webserver dazwischensteht. Zudem ist es möglich, die Lösung als reinen Sniffer laufen zu lassen, so dass im Firmennetzwerk nichts verändert werden muss. Dann kann sie allerdings auch bei Angriffen nicht eingreifen, sondern wie ein IDS nur Alarm schlagen.
Die gefürchtete SQL-Injektion versuchen Kavado und Sanctum in den http-Daten zu erkennen, sie machen also dicht, wenn sie wie im obigen Beispiel ein Semikolon oder ein Hochkomma im http-String finden. Imperva ist zusätzlich in der Lage, die Daten vom Webserver zur Datenbank zu prüfen, also die reinen SQL-Befehle. Dies ist besonders dann interessant, wenn auch der netzinterne Zugriff auf den Datenbankserver geschützt werden soll, da hier ja nur die SQL-Befehle übermittelt werden. So kann auch die interne Sicherheit der Daten sichergestellt werden.
Noch eher unbekannt im deutschen Markt sind Netcontinuum und Teros. Netcontinuum wandelt auf Netscreens Spuren und versucht, Application Security in hochperformante Hardware zu gießen - ein ASIC-Prozessor für Web-Applikationen. Teros arbeitet mit ähnlicher Technik wie Sanctum und liefert ebenfalls Hardware - allerdings keinen ASIC - gleich mit.Casper von der META Group geht davon aus, dass Application Security wie vorher schon Antivirus und Spam-Filter von der Zusatz-Box zu einer weiteren Funktion der gängigen Firewalls wird: "Vielleicht arbeiten diese Funktionen dann nicht in der Detailtiefe wie die der spezialisierten Anbieter, aber für den Bedarf der meisten Firmen wird das ausreichen." Wer hier den Markt für sich gewinnt, entscheidet seiner Meinung nach eher die lokale Präsenz als die unterschiedliche Technik. Die Firewall wird also auch die Application Security schlucken und nicht umgekehrt, wie es Netcontinuum derzeit versucht: "Die Entwicklung geht nicht von der Applikations- auf die Netzwerkebene, sondern umgekehrt, also von den Netzwerk-Firewalls hin zu integrierten Application Security-Lösungen", sagt Casper.
Da die Lösungen mit Preisen von 15.000 bis 30.000 Euro nicht ganz billig sind, lohnt sich die Anschaffung vor allem für Kunden, die einen hohen Sicherheitsbedarf für ein bestimmtes Protokoll haben. Strobel von Cirosec berichtet aus der Praxis: "Wir haben als Kunden große Online-Reiseanbieter, Finanzdienstleister und Leasing-Anbieter, alles sehr große Firmen mit wichtigen Web-Applikationen."
 "Application Security wird ein Teil der Firewalls werden" Carsten Casper, Research Analyst bei der META Group |
Robert Jung vom Distributor Entrada kann diesen Eindruck bestätigen: "Kleine und mittlere Unternehmen verlassen sich eher darauf, dass die Web-Applikation richtig programmiert ist. Aber große Kunden verstehen, dass ihre online verfügbaren Datenbanken abgesichert werden müssen." Je nach Anwendung kommen bei Entradas Kunden bisher Kavado und Sanctum zum Einsatz, mit Imperva gibt es in Deutschland erste Pilotprojekte.