Webanwendungen effektiv vor SQL-Injection schützen

Kathrin Schmitt,

Unternehmen setzen viele Technologien ein, um ihre Daten zu schützen. Web-Applikationen gleichen jedoch weniger einer Festung als einem Flughafen, der das Publikum hinein- und mit der Applikation interagieren lässt. Offenheit scheint Sicherheit zu widersprechen. Billy Hoffman von HP beschrieb im Gespräch mit silicon.de, wie trotzdem beides geht.

Der Software- Bug kann an jeder Stelle des Codes stehen, setzte er hinzu. “IT-Teams werden diese Bugs nicht entfernen und das ist auch nicht ihre Aufgabe. Bei SPI haben wir immer wieder mit IT-Teams zu tun gehabt, die zunächst sehr feindselig waren. Sie dachten, wir greifen ihre Arbeitsweise an. Sobald sie aber verstanden hatten, dass wir nicht nachweisen wollen, dass das IT-Team buggy ist, sondern Softwareprobleme in den Fokus stellten, glätteten sich die Wogen immer schnell. Wir wollen nicht IT-Teams in die Schusslinie bringen, sondern das Internet sicherer machen – schließlich nutzen wir alle das Internet – von meiner vierjährigen Nichte, die Fotos ihrer Katze einstellt, bis hin zum Großkonzern, der auf der ganzen Welt Kunden hat”, so Hoffman.

Daher gehören auch Softwarehersteller zu den Kunden der HP-Sicherheitssoftware. Diese funktioniert in drei Stufen: Code-Validierung, Tests und Integration sowie Production Assessment. “Oft ist es aber eine schwierige Sache, sie zu überzeugen. Schließlich sind die Hersteller mit Qualitätsmanagement ausgestattet und stolz auf ihre Produkte”, räumte er ein. “Doch Sicherheit ist nichts als eine andere Seite der Qualität. Wir predigen unsere Sicherheitsstrategie dennoch und hoffen, dass noch mehr Softwarekonzerne sich mit dem Thema beschäftigen. Immerhin wird es billiger je früher sie die Bugs entdecken! Beispielsweise wird ein Konzern wie SAP mit Netweaver sehr viele webseitige Plattformen vertreiben, die wiederum ohne Sicherheitsvorkehrungen eine direkte Autobahn zum Datenbank-Herzstück der Kunden wären.”

Auch die Hersteller beschrieb er als “plötzlich sehr aufgeschlossen”, sobald ihnen die Sicherheitsprofis zeigen, was sie mit deren Paradepferden alles anstellen können. “Fehler sind eine menschliche Sache. Um sie zu finden, kann man entweder gleich aktiv werden und mit den Lösungen im Designprozess eingreifen – oder man muss nach dem Verkauf dafür sorgen, dass alle Kunden upgraden und Patches aufspielen. Das eine ist schnell, billig und für die Kunden unsichtbar. Das andere schadet dem Image, ist aufwändig und teuer. Es liegt also im Eigeninteresse der Hersteller, dass sie uns zuhören.”