Web Application Firewalls: „Schwachstellen erkennen, bevor sie zur Bedrohung werden“

Webanwendungen in Unternehmen sind ein Hauptziel von Cyberangriffen geworden.  Nahezu jedes dieser IT-Systeme enthält teilweise schwerwiegende Sicherheitslücken und erlaubt Hackern den Zugriff auf sensible Daten. In Einzelfällen können Cyberkriminelle sogar die vollständige Kontrolle über Webserver erlangen. Firewalls auf Netzwerkebene sind jedoch nicht in der Lage, http- oder https-Protokolle umfassend zu schützen. Im Interview beschreibt Walter Schumann, Senior Vice President Sales & Marketing von Rohde & Schwarz Cybersecurity, das Ausmaß der Bedrohung und welche Strategie tatsächlich wirksam ist.

Herr Schumann, warum sind Webanwendungen so anfällig für Cyberangriffe?

Hacker machen sich ihre Arbeit so einfach wie möglich. Sie suchen nach Türen, die sie nur noch aufstoßen müssen. Webanwendungen und Webdienste sind solche Zugangswege. Organisierte Kriminelle können bereits mit simplen Mitteln die Barrieren der webbasierten Apps überwinden. Das hat einen einfachen Grund: Das Fundament für innovative IT-Prozesse in sämtlichen Branchen bilden http- und https-Protokolle. Für solch komplexen Anwendungen ist das Web allerdings nicht konzipiert. Das gilt speziell für die http- und die etwas sichereren https-Protokolle. Fast jede Webanwendung enthält daher Schwachstellen und ist angreifbar.

Sind Webanwendungen denn angesichts des Risikos wirklich so bedeutend für Unternehmen?

Auf jeden Fall! Webanwendungen sind eigentlich überall und aus modernen IT-Infrastrukturen von Unternehmen nicht mehr wegzudenken. Geschäftsprozesse lagern sich zunehmend in das Internet aus. Ob SAP NetWeaver, SharePoint, Outlook Web Access oder CRM-Anwendungen: alle Anwendungszwecke werden im Hintergrund durch Webanwendungen realisiert. Hinzu kommen Webdienste, die als Backend für Mobilgeräte dienen und die Kommunikation zwischen Maschinen ermöglichen. Große Unternehmen nutzen aktiv bis zu 100 Applikationen. Auch im Mittelstand und in kleineren Unternehmen gehören Webanwendungen bereits zum Standard. Die Sicherheit von Webapplikationen betrifft daher heute jedes Unternehmen – und nicht nur Betreiber von Online-Shops und Banking-Portalen.

Walter Schumann ist Senior Vice President Sales & Marketing von Rohde & Schwarz Cybersecurity,

Auf welche Bedrohungen müssen sich Unternehmen konkret einstellen?

Es gibt eine Vielzahl an Cyberattacken auf Webapplikationen und die entsprechenden Protokolle. Zu den gängigsten Schwachpunkten gehört das sogenannte „Cross-Site Scripting“ (XSS). Dabei schleusen Hacker ein schadhaftes Skript in eine ungeschützte Webanwendung ein, die von Nutzern aufgerufen werden. Auf diese Weise können Hacker Daten gewinnen, die zwischen dem User und der jeweiligen Website ausgetauscht werden. Ein anderes Beispiel: Mithilfe von sogenannten „SQL-Injections“ können Hacker Sicherheitslecks in SQL-Datenbanken ausnutzen und diese manipulieren. Die Angreifer füttern einfach Webformulare mit zusätzlichen eigenen Kommandos und spähen auf diese Weise Daten aus. Mithilfe dieser Technik können Cyberkriminelle sogar die Kontrolle über einen Server erlangen.

So gut wie jedes Unternehmen hat aber doch eine Netzwerk-Firewall. Reicht das nicht aus?

Unternehmen glauben oft, dass alles im Netzwerk in Ordnung ist, solange es eine Firewall gibt. Das ist ein gefährlicher Trugschluss. Denn herkömmliche Firewalls enden auf der Netzwerkprotokollebene. Dort überprüfen sie beispielsweise anhand der IP-Adresse, ob jemand zugriffsberechtigt ist oder nicht. Netzwerk-Firewalls können allerdings keine Inhalte auf der Anwendungsebene erkennen. Hier aber schleust der Hacker seine Befehle ein, wenn er Webapplikationen angreift. Deshalb müssen Unternehmen der Gefahr ins Auge blicken, bevor sie zur Bedrohung wird: Nur mit einer speziellen „Web Application Firewall“ (WAF) lassen sich solche Angriffe aufspüren und abblocken. Diese wird als Reverse Proxy installiert. Dadurch kann sie den gesamten Datenaustausch zwischen Client und Webserver analysieren. Damit bietet die WAF Schutz vor SQL-Injections, XSS und vielen weiteren Webangriffen.

Auf was sollte ein Unternehmen achten, wenn es eine Web Application Firewall auswählt? Gibt es Unterschiede im Ansatz?

Entscheidend für die Qualität und Wirksamkeit des Schutzes ist die Art und Weise, wie die WAF bösartige Eindringlinge erkennt. Verbreitet sind Listenmodelle: Whitelisting blockiert jeden Datenverkehr, außer den ausdrücklich zugelassenen. Das Blacklisting lässt hingegen alle Daten durch, die nicht ausdrücklich verboten sind. Allerdings führen Listenmodelle häufig zu sogenannten „False-Positive“-Meldungen. Das ist ein enormes Problem.

Inwiefern?

Bei unpräzisen Methoden summieren sich diese Falschmeldungen schnell auf über mehrere Hundert pro Tag. Es frisst viel Zeit, diese falschen Warnungen abzuarbeiten. Nicht selten wird eine Web Application Firewall wieder ausgeschaltet, weil der Arbeitsaufwand zu groß wird. Das ist natürlich fatal. Die Firewall lässt sich zwar so konfigurieren, dass bösartiger Datenverkehr präziser erkannt wird. Aber dazu braucht es Spezialwissen. Für kleine und mittelgroße Unternehmen ohne eigene IT-Abteilung ist das also keine Option. 

Gibt es keine einfache und präzise Möglichkeit, Angreifer zu erkennen?

Doch. Rohde & Schwarz Cybersecurity hat solche neuen Methoden für seine Web Application Firewall entwickelt. Ein Beispiel ist das Workflow-Konzept. Dabei werden Internetbedrohungen anhand ihrer Aktivitäten und spezifischen Verhaltensweisen identifiziert. Aufwändige Voreinstellungen durch den IT-Administrator sind dann nicht mehr nötig. Auch das Scoring-Modell präzisiert das Auffinden von Angreifern erheblich. Verschiedene Elemente eines Datensatzes werden dabei unterschiedlich gewichtet. Wenn ein Datensatz bei der Webanwendung ankommt, gleicht die Firewall die Summe der Gewichtung mit einem definierten Schwellenwert ab. Sobald dieser erreicht wird, stuft die WAF den Datenverkehr als schädlich ein und blockiert ihn. Solche Scoring-Modelle sind besonders wirksam bei „Denial of Service“-Angriffen (DoS).

Für sehr komplexe Angriffe empfiehlt sich eine Advanced-Threat-Lösung. Diese nutzt zum Beispiel sogenannte Sandboxing-Technologien, mit denen schutzbedürftige Bereiche komplett isoliert werden. Eine fortschrittliche und wirksame WAF muss allerdings genauso in der Lage sein, neben dem Inhalt auch Identitäten zu prüfen. Nur so kann sie nicht-autorisierten Personen den Zugriff auf Anwendungen verwehren.

Erschwert eine WAF den Zugriff von Usern auf Webanwendungen nicht erheblich?

Das muss nicht sein. Wir haben unsere WAF so konzipiert, dass hinter einer Anmeldung mittels Single-Sign-On weitere starke Authentifizierungen gruppiert werden. Auf diese Weise kann der User mit einer einmaligen erfolgreichen Identitätsprüfung an seinem Arbeitsplatz auf alle Rechner und Dienste zugreifen.

Ist bei all dem, was eine WAF leistet, weiterhin eine Netzwerk-Firewall notwendig?

Unbedingt! Eine Netzwerk-Firewall ist unverzichtbar. Sie stellt sicher, dass nur ein bestimmter Datenverkehr für den Zugriff auf die IT-Infrastruktur autorisiert ist. Sie garantiert jedoch nicht, dass die durch diesen Verkehr transportierten Daten sicher sind. Hier sichert die Web Application Firewall ab. Erst die Kombination aus beiden Firewalls bietet einen umfassenden Schutz der eigenen sensiblen Daten.

Herr Schumann, vielen Dank für das Gespräch!

 

Über Rohde & Schwarz Cybersecurity: Das IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity schützt Unternehmen und öffentliche Institutionen weltweit vor Cyberangriffen. Mit sicheren Verschlüsselungslösungen, Next-Generation-Firewalls und Firewalls für geschäftskritische Webanwendungen, innovativen Ansätzen für das sichere Arbeiten in der Cloud sowie Endpoint-Security entwickelt und produziert das Unternehmen Lösungen für die Informations- und Netzwerksicherheit. Das Angebot der mehrfach ausgezeichneten und zertifizierten IT-Sicherheitslösungen reicht von kompakten All-in-One-Produkten bis zu individuellen Lösungen für kritische Infrastrukturen. Im Zentrum der Entwicklung von vertrauenswürdigen IT-Lösungen steht der Ansatz „Security by Design“, durch den Cyberangriffe proaktiv statt reaktiv verhindert werden. Über 500 Mitarbeiter sind an den Standorten in Deutschland, Frankreich, Spanien und den Niederlanden tätig.

1
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags