Eine Brandschutzmauer für Webanwendungen

Simone Schnell,

Niemand geht davon aus, dass ‘Web Application Firewalls’ lückenlos absichern können. Und doch: eine WAF ist derzeit das probateste Mittel, die Sicherheit von über das Internet ansteuerbaren Applikationen vor Angriffen zu schützen.

Mehr Geld kosten kombinierte Hard- und Softwarekonzepte, die mit Appliances arbeiten. Zwischen 20.000 Euro für eine überschaubare Anzahl von Anwendungen bis hin zu 60.000 Euro teuren Highend-Lösungen für Rechenzentren ist alles drin.

Muss ein Betrieb mit Penetrationstests anfangen, um die Infrastruktur zu analysieren und Schwachstellen zu finden, kommen schnell höhere Kosten zusammen. “Wenn man davon ausgeht, dass die externe Sicherheitsprüfung einer Applikation je nach Größe meist zwischen 10.000 und 25.000 Euro kostet und dann noch berücksichtigt, dass es oft vorkommt, dass man eine Applikation nach der Fehlerbehebung nochmals prüfen muss, dann summiert sich das schnell”, rechnet Strobel vor. Oft müsse man dann zu allem Übel auch noch feststellen, dass die Behebung nicht korrekt oder vollständig war. Wer nicht nur eine Applikation, sondern mehrere hat, für den rechne sich die Investition in eine WAF bald, lautet sein Resümée.

Marktanalysten haben die Erfahrung gemacht, dass viele, gerade mittelständische Unternehmen diese Kosten noch scheuen. Frost & Sullivan drängt in einer Mitteilung darauf, die Sicherheitsanwendungen einem breiteren Publikum zugänglich zu machen.

WAF ist für die Arbeit im Team vorgesehen

Marktforscher halten das Thema Web Application Firewall für ausbaufähig. “Viel Potenzial” sei da vorhanden, sagte zuletzt Jose Lopez, Senior Analyst bei Frost & Sullivan. Forrester hat die eingangs erwähnte Studie durchgeführt und als Marktführer Netcontinuum (mit denen Cirosec zusammenarbeitet), Citrix sowie Imperva identifiziert.

Es gibt aber auch noch andere Anbieter und allesamt haben sie ihre Erfahrung in die  ‘Web Application Firewall Evaluation’-Kriterien gesteckt. Unter dem Dach des Web Application Security Consortium (WASC) definieren sie, was sich alles WAF nennen darf. Version 1.0 steht seit Januar dieses Jahres zur Verfügung, weitere Versionen nicht ausgeschlossen, sogar erwünscht. Nicht jedes Kriterium ist ein Muss, es läuft eher nach dem Entweder-Oder-Prinzip ab. Der Katalog soll Unternehmen bei der Auswahl einer geeigneten Lösung unterstützen.

Auch Frost & Sullivan gibt der WAF gute Erfolgschancen. Waren 2001 noch Umsätze in Höhe von rund 7 Millionen Dollar zu verzeichnen, rechnet der Marktforscher mit etwa 656 Millionen Dollar Umsatz in diesem Bereich. Die Yankee Group sieht das ähnlich, geht aber davon aus, dass WAFs in Zukunft kein Standalone-Modell bleiben werden.

Vielmehr werde der Schutzmechanismus Teil von so genannten ‘Application Assurance Platforms’ sein, also Plattformen, die eine Reihe von Sicherheitstools auf sich vereint, neben WAF auch Datenbanksicherheit, XML Security Gateways und ‘Application Traffic Management’-Lösungen.

Laut Cirosec-Mann Strobel hat Netcontinuum bereits eine solche Lösung im Portfolio. Da sind WAF, Loadbalancer, SSL-Verschlüsselung oder auch Authentifizierung in einer Box vereint. Der Mitbewerber F5 verfügt ebenfalls über eine Security-Box, die vor den Webserver geschaltet wird und den Datenstrom analysiert.