Ebenso häufig überschreitet jemand einfach seine Zugangsberechtigung: Einmal eingeloggt, kann er mit ein paar einfachen Tricks auch auf Teile der Website zugreifen, auf die ein Außenstehender eigentlich keinen Zugriff haben sollte, zum Beispiel fremde Nutzerkonten oder geheime Daten. Auf Platz drei der häufigsten Angriffe auf Web-Anwendungen steht auf der Top Ten Liste des OWASP (Open Web Application Security Project) der Einbruch in die Sessions anderer Nutzer. Dazu ist oft nicht einmal Spezialwissen nötig: Im Fall der Firma Gateway reichte es bereits, die beim ersten Besuch lokal gespeicherten Cookies zu manipulieren, um an die Daten anderer Nutzer heranzukommen.
„Das Problem an sich ist, das Web-Anwendungen nicht ausreichend sicher programmiert sind“, resümiert Stefan Strobel, Geschäftsführer von Cirosec, Security-Berater und Dienstleister in Heilbronn. Dahinter steht oft ein Zeit- und Geldproblem: Firmen wollen schnell online sein und stehen unter hohem Druck, den sie an die Software-Entwickler weitergeben. Diese würden die Anwendungen wohl genauer auf Sicherheitslücken testen, bekommen aber kein Budget dafür.
Im Nachhinein ist dann nicht mehr viel zu machen. Zum ersten ist es teuer, Applikationen zu prüfen. Dafür gibt es bereits Werkzeuge und Strobels Team nutzt hier Software von Kavado, Sanctum oder dem Marktführer Spydynamics. Dennoch bleibt vieles reine Handarbeit. Manche Schlupflöcher finden auch erfahrene Experten erst nach langem Suchen – und das ist teuer. Denn die Software prüft nur, ob Eingabefelder z.B. Semikolons und Anführungszeichen zulassen, ob man damit aber wirklich einbrechen kann, müssen die Techniker selbst herausfinden.
Ist dann einmal eine Aufgabenliste für den Programmierer erstellt, heißt das noch lange nicht, dass die Web-Anwendung in der nächsten Version wirklich sicher wird. Neuer Programmcode birgt auch wieder neue Fehler, so die Erfahrung von Strobel. Spätestens wenn eine Firma mehrere Web-Anwendungen einsetzt, die alle überprüft werden müßten, lohnt es sich, ein Security-Gateway zu kaufen.
„Es ist das gleiche Problem wie mit Microsoft und den Patches von Microsoft – sie haben nie auf jedem Server fehlerfreie Software“, erklärt Strobel, „Also kaufen Sie lieber eine Box, die davor steht und trotzdem Sicherheit gewährt, das ist letztlich preisgünstiger.“
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…