Möglichkeiten zum Schutz von Webapplikationen
Die Wettbewerbsfähigkeit der Unternehmen ist heute mehr denn je eng mit ihrer Fähigkeit verbunden, ihre Präsenz im Web aufrechtzuerhalten. Aus diesem Grund entscheidet sich ein grosser Teil von ihnen für Webapplikationen. Ob über Onlineverkaufsseiten, Blogs oder andere Anwendungen, können sie so besser mit ihren Kunden kommunizieren. Webapplikationen sind besonders vorteilhaft wegen ihrer Einfachheit, Leichtigkeit und Verfügbarkeit, die sie von jedem Gerät mit Browser und Internetverbindung dauerhaft zugänglich machen. Da diese Anwendungen aber von überall und für Menschen und Maschine zugänglich sind, sind sie besonders anfällig für cyberkriminelle Angriffe.
Website oder Applikation?
Der Unterschied zwischen einer Website und einer Webanwendung liegt in der Beziehung, die der Benutzer zu den Daten hat:
Kann der Benutzer auf eine Webseite zugreifen, dort Daten eintragen, ändern, bearbeiten oder löschen, handelt es sich um eine Webapplikation. Kurz gesagt, eine Webapplikation verhält sich ähnlich wie eine Standardsoftware, wie z.B. MS Word, die aber auf einem Webserver installiert ist und über ein internes Netzwerk oder über das Internet via einen definierten Webbrowser zugänglich ist, und keine zusätzliche Installation erfordert. Es gibt viele Webanwendungen, aber als bekannte Beispiele möchte ich die folgenden drei Anwendungen nennen: www.ticketcorner.ch (Ticketshop für Veranstalter), www.office.com (Word online, Excel online etc.) und Google Mail. Eine Webapplikation wird unter dem Stichwort Web 2.0 gezeichnet.
Programmierfehler und andere Schwachstellen in den Betriebssystemen und der Anwendungssoftware sind besonders gefährlich in Webapplikationen: Dass diese von überall und von jedermann zugänglich sind, macht sie besonders anfällig für cyberkriminelle Angriffe.
Die bisher bekanntesten Angriffsmethoden sind die Folgenden:
– SQL-Injektion
– Geringe Sicherheitskonfiguration des Webservers
– XSS (Cross-Site Scripting) Schwachstellen
– Mangelnder Schutz der Transportschicht
Glücklicherweise gibt es eine Reihe von Massnahmen, die Unternehmen ergreifen können, um das Ausmass von Cyberangriffen zu reduzieren, einschliesslich für Webanwendungen. Diese Massnahmen sind in den Normen ISO 2700x oder im BSI-Katalog ausführlich beschrieben und werden hier als Beispiel vorgestellt.
Die Möglichkeiten zum Schutz von Webapplikationen müssen nicht nur auf «technische Massnahmen» begrenzt werden, sondern auch organisatorische und administrative Massnahmen müssen berücksichtig werden.
Anbei eine kurze Vorstellung der obengenannten Massnahmen:
Die Organisatorische Massnahme besteht in Aufbau und Aktualisierung eines Managementsystems für Informationssicherheit (ISMS), basierend auf ISO 27001 oder BSI-Standards 200-1. Das bedeutet, man muss eine Leitlinie zur Informationssicherhit formulieren, eine Organisationsstruktur etablieren und ein Sicherheitskonzept entwickeln. Zu diesen organisatorischen Massnahmen gehört auch ein Lebenszyklus des Sicherheitskonzepts, der als PDCA-Modell bezeichnet wird (Plan-Do-Check-Act).
Die Administrativen (Vorgehensweise) Massnahmen bestehen aus der Festlegung von Regeln, Richtlinien und Bausteinen, die als Hilfsmittel für die Umsetzung des Sicherheitsmodells dienen. Als wichtige Basishilfsmittel sind ISO 27002 und BSI-200-2-Standards zu berücksichtigen. Hier geht es z.B. um die IT-Sicherheitsanalyse, Erarbeitung und Überprüfung der IT-Richtlinien, Zugriffsmanagement, Definition von Bausteinen etc. Eine der wichtigsten Aufgaben wird es beispielsweise sein, die sogenannten «CIA-Schutzziele» und die rechtlichen Rahmenbedingungen (DSGVO) festzulegen.
Die technische Massnahme besteht in der Verwendung anderer Anwendungen, welche die Überwachung und Prävention von Angriffen auf Webserver ermöglichen, wie z.B. das Scannen und Analysieren der dort gespeicherten Dateien, aber auch die Überwachung des Datenverkehrs und der verschiedenen Anomalien, die auftreten können. Dank der Anwendungen wie: Firewalls, Revers Proxy, Antivirus, IDS, NaC etc. oder die Verwendung anderer Techniken, die Kryptographie und Zugriffskontrolle durch MFA ermöglichen. In diese Kategorie fällt auch die Implementierung der Verfügbarkeit
Um eine sichere Webapplikation zu haben, ist es jedoch notwendig, nicht nur die technischen Massnahmen umzusetzen, sondern alle oben genannten Kategorien als Teile des Sicherheitsaspekts zu berücksichtigen.
Zusammenfassend lässt sich sagen, dass es keinen definitiven Weg gibt, die Sicherheit einer Webapplikation zu gewährleisten, sondern es braucht die Kombination der aufgeführten Strategien, welche die Computerumgebung schützen, in der die Webapplikation gespeichert ist.
Wichtig ist auch zu wissen, dass die hundertprozentige Sicherheit einer Webanwendung nur eine Utopie ist und dass eine solche Sicherheit in Wirklichkeit nicht existiert! Dennoch sollen die hier aufgeführten Massnahmen das Hacking einer Webapplikation deutlich erschweren, und damit unwirtschaftlich machen. Denn schliesslich sind Cyberkriminelle nur eine Art Unternehmer, die auf der Suche nach Gewinn sind, weshalb die Frage der Leistung auch für sie gilt!
Autor: Mustafa Arben
Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)
Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.
Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.