Wirklich Trost spenden die bislang präsentierten integrierten Schutzkonzepte jedoch kaum. Den IT-Sicherheitsspezialisten müssen versuchen, in der Schlacht um den guten Ruf des Unternehmens nicht gänzlich unterzugehen. Allein Mittel in der betrieblichen Budget-Planung für ein proaktiv aufgestelltes Web-Reputations-Management freizumachen, stellt oftmals einen organisatorischen Drahtseilakt dar.
Die Argumentation im innerbetrieblichen Abstimmungsprozess sollte sich deshalb zunächst auf die Offenlegung des Ist-Zustands fokussieren und den konkreten Nutzwert zusätzlicher Maßnahmen in den Vordergrund rücken. Gravierende Schwachstellen dürften immerhin rund achtzig Prozent der Webshops, E-Business-Portale oder Homepages von Unternehmen aufweisen, kalkulieren Experten.
Regelmäßige Prüfung der Programmiertechnik sowie Design-Checks sind hingegen bislang nur selten Usus. Vor allem mangelt es an bedarfsgerechten, herstellerunabhängigen und umfassenden Security-Schulungen zum Thema Webapplikationen, die Theorie und Praxis sinnvoll verzahnen. Vorrangig ist, dass die Entwickler die Basistechnologien richtig begreifen – etwa die Funktionsweise relationaler Oracle-Datenbanken.
Daneben gilt es, gezieltes Wissen aufzubauen, etwa über sichere Java- oder PHP-Anwendungen. Ein festgelegtes und strukturiertes Vorgehen erspart unnötige Arbeit. Fakt ist aber auch, dass die Absicherung via Firewall, Virenschutz und Intrusion Detection allein kaum mehr ausreichend ist – denn der Eindringling schlüpft in die Rolle des Programmierers und nutzt nicht erwartete Eingaben zur Manipulation von Daten oder zum Einschleusen von gefährlichem Code.
Etwa wird in das Eingabefeld einer Maske ein Javascript eingegeben, welches dann oft tatsächlich ausgeführt wird und so eine Hintertür in die Applikation öffnet. Diese Anwendungen stellen häufig aber nicht nur die jeweilige Webpräsenz des Unternehmens dar, sondern sind untrennbar mit Backend- und Datenbanksystemen verbunden.
Fazit: Aufgrund der komplexen Bedrohungsmuster gilt es die technischen Lösungen in das gesamte Reputationsmanagement einzubinden, inklusive einer Evaluierung am gemeinsamen runden Tisch mit den zuständigen Fachabteilungen. Ansonsten bleibt die rhetorische Bekräftigung, größere Schäden vom guten Ruf des Unternehmens abzuwenden, eine inhaltsleere Marketingblase. Diese kann nämlich durch die via Internet oder eigene Webanwendungen eingeschleuste Malware jederzeit platzen.
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…
Die Hintermänner stammen mutmaßlich aus Russland und haben staatliche Unterstützung. Die Backdoor Kapeka wird seit…
Cyberkriminelle haben auf Zahlungs- und Zugangsdaten abgesehen. LinkedIn landet auf dem ersten Platz. Zudem verhelfen…
Die Paysafecard hat sich in den letzten Jahren als eine der beliebtesten und sichersten Zahlungsmethoden…
Texte können nun im PDF Viewer farblich markiert werden. Firefox blockiert zudem mehr verdächtige Downloads…