Sicherheit in Webanwendungen: Maßnahmen und Best Practices

Die Suche nach Schwachstellen webbasierter Applikationen beginnt schon mit der banalen Tatsache, dass diese Programme für alle Nutzer jederzeit erreichbar sind. Daher gibt es eine große Menge an potentiellen Angreifern, die nicht durch Firewalls aufgehalten werden können. Die Applikationen sollen ja erreichbar sein. Aus demselben Grund hilft auch keine End-zu-End Verschlüsselung, etwa SSL-basiert. Die Daten werden zwar verschlüsselt über das Netzwerk gesendet, aber das spielt für die Webanwendung, die diese Daten verarbeitet, keine Rolle.

Es hilft kaum weiter, wenn Unternehmen versuchen, einen eigenständigen Lösungsansatz zu entwickeln. Denn genau dies stellt ein anderes großes Problemfeld dar. Für die „selbst gebastelten“ Lösungen werden die vorhandenen Mitarbeiter eingesetzt, die kaum Erfahrung im Schreiben sicherer Software haben. Hinzu kommt, dass die im Web eingesetzten Skriptsprachen wie PHP und Perl es auch unerfahrenen Programmieren leicht machen, schnell Anwendungen zu entwickeln. Nachdem diese Programme oftmals unter Zeitdruck erstellt werden, zählt Funktionalität mehr als die sichere, robuste Programmierung.

Auch die „innere Sicherheit“ ist ein permanenter Unruheherd. Webanwendungen und Webserver werden oftmals als Eingangstür in das interne Netzwerk missbraucht. Eine Firewall blockiert typischerweise Verbindungen von außen zu den meisten Rechnern im internen Netzwerk. Wenn der Angreifer jedoch Kontrolle über den Rechner erlangen kann, wo die Webanwendungen laufen, kann er diesen Rechner dazu verwenden, weitere Maschinen im internen Netz anzugreifen, die dadurch nicht mehr durch die Firewall geschützt sind, da der Webserver hinter der Firewall liegt.