In 80 Prozent aller Webserver kann eingebrochen werden

Der IT-Sicherheitsspezialist Cirosec hat eine Warnung vor den Gefahren durch Angriffe auf Applikationsebene ausgesprochen. Marktbeobachtungen zufolge sei es möglich, in 80 Prozent aller Webserver einzubrechen und von dort weiter in interne Systeme wie Datenbanken oder SAP-Systeme zu gelangen. Auf diese Weise könne der Angreifer Daten manipulieren, löschen oder auch stehlen und dadurch sowohl einen großen materiellen als auch immateriellen Schaden verursachen.

Die große Gefahr, die von Angriffen auf Applikationsebene ausgehe, liegt laut Stefan Strobel, Geschäftsführer von Cirosec, in den technischen IT-Sicherheitskonzepten der letzten zehn Jahre begründet. „Firmen haben sich vor allem auf die Absicherung der Netzwerkgrenzen konzentriert. Firewalls aus dynamischen Filtern, Proxies, Virenscannern und URL-Filter wurden am Internet-Zugang aufgebaut“, so Strobel weiter. „Zu einer Zeit, in der laut Gartner bereits 75 Prozent aller Angriffe auf Applikationsebene stattfinden, sind diese Mechanismen einfach nicht mehr ausreichend, um sich erfolgreich gegen Hackerangriffe zu schützen.“

Je weiter der technische Fortschritt nach E-Business-Kommunikation verlangte, umso mehr Anwendungen wurden den Partnern über eine Web-Schnittstelle angeboten. Und umso mehr Systeme bei Kunden und Lieferanten mussten möglichst direkt miteinander kommunizieren. Da man bestimmte Protokolle für verschiedene Anwendungen freischaltete, bekamen die Firewalls immer mehr Löcher und die erreichbaren Applikationen entwickelten sich zu beliebten Objekten von Hackern, so Strobel.

Mit Hilfe von Protokollen wie http könnten Hacker beispielsweise durch SQL-Injection unbemerkt durch Firewalls hindurch in Webserver und in die dahinter liegenden Datenbanken eindringen. Selbst bei Web-Portalen, die durch starke Authentifizierung geschützt werden, sei es einem Angreifer häufig durch Cross-Site-Scripting möglich, die Cookies und damit die Benutzersession eines berechtigen Benutzers zu stehlen. Auf diese Weise könne er sich als legitimer Nutzer am Portal anmelden.

Mittlerweile gebe es jedoch Technologien, die Angriffe auf Applikationsebene verhindern könnten. Sie sollen teilweise automatisch die benötigten URLs jeder Applikation, die erlaubten Wertebereiche und Längen von Eingabewerten lernen und daraus eine Policy aufbauen, gegen die jeder http-Request geprüft wird. Zusätzlich überwachten sie den Status der Benutzer-Sessions.

Diese Technologien würden in der Regel als Reverse-Proxies arbeiten, die man vor den Webserver schaltet. Sie betrachteten im Gegensatz zu klassischen Reverse-Proxies nicht nur die http-Protokollebene, sondern prüften die semantische Integrität jeder URL oder jedes einzelnen Eingabefeldes in jeder Benutzermaske auf seine jeweiligen Beschränkungen hin. Angriffe wie SQL-Injection, Parameter Tampering, Hidden Manipulation und viele andere Angriffe auf Web-Applikationen würden damit verhindert.