Firmen fehlt Gefahrenbewusstsein bei Web-Anwendungen

ManagementProjekteService-Provider

Vielen Unternehmen ist nicht bewusst, dass Web-Anwendungen anders gesichert werden müssen als klassische Netzwerk-Bereiche. Auf diese Weise sind sie oft hilflos Angriffen aus dem Netz ausgeliefert.

Zu diesem Ergebnis kommt eine Studie der Marktforscher von Forrester Research, die herausfanden, dass große Unsicherheit darüber herrscht, wie man Web-Anwendungen absichert, und dass viele Unternehmen keine Kenntnis von dem ungenügenden Schutz einer klasssichen Firewall haben.

Während eine klassische Firewall Pakete analysiert, übernehmen Web Application Firewalls (WAFs) ganze Sessions mit Webservern. Sie überwachen beispielsweise URLs oder kontrollieren definierte Parameter auf ihre Richtigkeit. Eine Firewall der ersten Kategorie ist überhaupt nicht in der Lage, auf Applikationsebene zu schützen. Dabei stammen 66 Prozent aller unerlaubter Eingriffe auf das Firmennetz von Schwachstellen in Web-Anwendungen, rechnete zuletzt der Sicherheitsbericht von Symantec vor.

Dass sich die mangelnde Aufmerksamkeit bei den Unternehmen hier schnell in waches Bewusstsein ändern muss, macht Forrester Presseberichten zufolge auch an dem PCI-Standard fest. PCI steht für Payment Card Industry, und die Spezifikation markiert Richtlinien, wie Firmen in Zukunft die Daten aus Kreditkarten- und anderen Online-Transaktionen sichern müssen. Eine von mehreren Optionen sind WAFs. Diese Zukunft beginnt Mitte 2008, denn dann wird der Standard verbindlich.

Bis dahin werden sich laut Forrester viele Unternehmen mit einer Stand-alone-WAF ausgerüstet haben. Verfügbar sind dann aber auch bereits Lösungen, die nicht nur als Firewall dienen, sondern zusätzliche Funktionen wie Application Acceleration unterstützen. Außerdem könnte eine WAF in multifunktionale Sicherheits-Appliances eingebunden sein. Die heißen Experten zufolge dann möglicherweise ‘Application Assurance Platforms’ und vereinen eine Reihe von Sicherheits-Tools auf sich, neben WAF zudem Datenbanksicherheit, XML Security Gateways und ‘Application Traffic Management’-Lösungen.