Eine Brandschutzmauer für Webanwendungen

Niemand geht davon aus, dass ‘Web Application Firewalls’ lückenlos absichern können. Und doch: eine WAF ist derzeit das probateste Mittel, die Sicherheit von über das Internet ansteuerbaren Applikationen vor Angriffen zu schützen.

Eine Liste, welche Sonderzeichen erlaubt sind und welche nicht, gibt es nicht und würde auch keinen Sinn machen. Experten raten daher dazu, grundsätzlich alle Sonderzeichen herauszufiltern und nur bestimmte Zeichen, die sich beispielsweise aus der Eigenart der Sprache ergeben wie Akzente im Französischen, zu erlauben. Der umgekehrte Weg, alles zu erlauben und diverse Zeichen zu verbieten, birgt ein wesentlich höheres Fehlerpotenzial.

Inzwischen muss man niemandem mehr erklären, dass Datenbanken hochsensible und schützenswerte Informationen enthalten, von Passwörtern über Benutzer-Accounts bis hin zu Kreditkarteninformationen. Noch einen draufgesetzt könnte das Szenario sogar so aussehen, dass Hacker die Datenbank als Tauschbörse missbrauchen. Hat es alles schon gegeben. Ein Imageschaden ist vorprogrammiert – und das wäre nur das geringste Übel.

Proaktive Webshields statt negatives Sicherheitsmodell

“Schon ein einfacher Applikationsfilter, der URLs automatisch kontrolliert, ist in der Lage, viele Angriffsarten proaktiv abzufangen”, erklärt Stefan Strobel, Geschäftsführer des IT-Dienstleisters cirosec, der sich auf IT-Sicherheit spezialisiert hat. Ähnliches gilt für Parameter-Filter, die verbotene Werte blockieren. Voraussetzung ist aber immer, dass man die WAF entweder zuvor händisch mit Informationen zu URLs oder Parametern füttert oder eine Lösung wählt, die automatische Lernmechanismen integrieren und selbstständig Regeln folgen, nach denen sie Daten hindurchlassen.

Das klingt eher nach Reaktion denn nach proaktiver Handlungsweise. Es kommt auf die Definition an. Reaktive Filter müssen die Fehler bereits im Vorfeld kennen, proaktive Schutzschilder agieren nach dem Motto: Ich will nicht wissen was alles schief gehen kann. Ich weiß, was erlaubt ist – den Rest blockiere ich.

Und dieser Rest ist ein dicker Batzen. Denn zumeist liegt der Teufel nicht nur im Detail, sondern stellt sich gleich zur Geburt einer neuen Webanwendung ihr entgegen. Selten handelt es sich für die Programmierung um Standard-Software, Standard sind nur die Fehler. Kommt bei der Entwicklung eine lückenhafte Webanwendung heraus, kann man im Grunde gleich ein Schild an die Tür hängen mit der Aufschrift ‘Tag der offenen Tür’.

Leichter gesagt als getan, erzählt einem mit Recht jeder Programmierer. Dem Berufsstand sei kein Vorwurf zu machen, verteidigt Strobel die Entwickler, wenngleich sie öfter als gehofft dem Gedanken erlägen, da passiere schon nichts. Dabei hätten selbst die etabliertesten und weit verbreiteten Anwendungen größte Mängel. “SAP hat ganz viele Sicherheitsprobleme, das wollen die meisten nur nicht eingestehen”, verrät Strobel. Microsoft dagegen habe aus früheren Fehlern gelernt. Auf der jüngsten Hackerkonferenz Black Hat hätten der Hersteller und Hacker gemeinsam eine Reihe von Veranstaltungen absolviert. “Die reden inzwischen miteinander und tauschen sich aus”, weiß Strobel zu berichten.

Anfang August stellte zuletzt Fortify, Anbieter von Web Application Security, dem Open Web Application Security Project (OWASP) sieben so genannte Gebote zur Verfügung, die der Hersteller zusammengetragen und einem breiteren Publikum zugänglich machen will. Die Gebote Input-Prüfung und Darstellung, API-Missbrauch, Sicherheitsfunktionen, Zeit und Status, Fehler, Code-Qualität sowie Datenkapselung sind Überbegriffe für insgesamt 115 Software-Fehler, die bei der Entwicklung auftreten und schwere Schäden nach sich ziehen können.

Später kann es teuer werden

Haben sich doch Problemstellen eingeschlichen, helfen Penetrationstests oder Audits, die aber mitunter sehr teuer sein können. Im Vergleich dazu seien WAFs noch bezahlbar, so Strobel. Applikationstests interessieren derzeit weniger die kleinen denn die mittelständischen und großen Unternehmen. Eine Softwarelösung, die einen kleinen Webserver bewacht, kostet rund 1000 Euro, bis 15.000 Euro sind für Softwarelösungen denkbar.