Categories: Cybersicherheit

Von digitaler Renitenz zu kommerzieller Regeltreue

Die DSVGO (international: GDPR) ist die weltweit strengste Regulierung ihrer Art. Sie erhöht die Anforderungen an den Umgang mit persönlichen Daten und bringt wesentliche Veränderungen hinsichtlich der kollektiven Einstellung gegenüber dieser Daten mit sich. So haben Bürger nun das Recht auf Anonymität und können Unternehmen zwingen, die über sie gespeicherten Daten herauszugeben. Die Auswirkungen der neuen Regelung werden weit über die Grenzen der EU spürbar sein, denn jeder, der innerhalb der EU Geschäfte macht, ist davon betroffen.

Wer vor dem Hintergrund der digitalen Komplexität mit den ausufernden gesetzlichen Implikationen zurechtkommen will, steht vor einer Reihe neuer Herausforderungen. Mehr denn je gilt: Die Daten Ihrer Kunden sind nur so sicher wie Ihre Sicherheitslösungen.

Schlüssel ins digitale Königreich

Wie unsere F5 Labs zeigen, sind Angriffe auf Webanwendungen die Anlaufstelle Nummer 1, über die Datendiebe erfolgreich in Systeme eindringen. Zu den Schlüsseln ins digitale Königreich zählen kompromittierte Anmeldedaten, Chiffrierschlüssel, Session Tokens sowie eine Reihe von Implementierungsfehlern, über die Angreifer Nutzeridentitäten übernehmen, Daten stehlen und Netzwerke kompromittieren können. Laut dem WhiteHat-Report „Application Security Statistics“ für 2017 haben Webanwendungen durchschnittlich drei erhebliche Sicherheitslücken. Das liegt entweder daran, dass Organisationen Kosten für Penetrationstests und die Fehlerbehebung sparen wollten oder weil die Cyber-Risiken falsch einschätzt wurden oder die passenden Sicherheitswerkzeuge fehlen, mit denen sich Sicherheitslücken beheben lassen.

Schwer zu verteidigen

Unsere Umfrage “State of the Application Delivery (SOAD)” für 2018 zeigt, wie sehr die Verbreitung von Multi-Cloud-Implementierungen den Schutz von Webanwendungen beeinflusst. Im EMEA-Raum gilt die Anwendung konsistenter Sicherheitsrichtlinien über alle Applikationen eines Unternehmens hinweg als der herausforderndste oder frustrierendste Aspekt beim Managen von Multi-Cloud-Umgebungen (das gaben 42 Prozent der Befragten an). Weitere 39 Prozent halten den Schutz der Anwendungen vor existierenden und künftigen Bedrohungen für die größte Herausforderung. Gemäß der SOAD 2018-Umfrage hat dies zu einer höheren Zahl von installierten Webanwendungs-Firewalls (WAFs) geführt: Heute nutzen 61 Prozent diese Technologie, um ihre Anwendungen zu schützen.

Ralf Sydekum, der Autor dieses Gastbeitrags für silicon.de, ist Technical Manager bei F5 Networks. Er beschäftigt sich mit den Herausforderungen der DSGVO und den Möglichkeiten von WAFs in diesem Zusammenhang. (Bild: F5 Networks)

Der Grund liegt auf der Hand: Als zentraler Bestandteil eines soliden Cybersicherheits-Portfolios können WAFs Angriffe stoppen, noch bevor sie Anwendungen erreichen. So sind WAFs kritische Sicherheitsvorkehrungen, mit denen Unternehmen ihre wertvollen Daten sowohl im Rechenzentrum als auch in der Cloud schützen können.

Allerdings sind nicht alle WAFs wirklich in der Lage, vor dem vollen Umfang des hyperaktiven Bedrohungsspektrums von heute zu schützen. Automatisierte bösartige Bots, Viren und Trojaner sind nur einige der Bedrohungen für Anwendungen, in denen persönliche Daten gespeichert sind.

Wirkungsvoll und leicht zu verwalten

Der Schutz der Webanwendungen kann zeit- und kostenintensiv sein, insbesondere die Entwicklung und Pflege von Websicherheitseinrichtungen. Moderne WAFs sollten wirkungsvoll und leicht zu managende Sicherheitsvorkehrungen sein, die sich einfach implementieren lassen, unabhängig davon, wo sich die Anwendungen befinden – ob in der DMZ, nahe bei den internen Webanwendungen und -Services oder in der Cloud. Es sind immer ausgefeilte Erkennungsfunktionen notwendig, um Zero-Day-Angriffe abzuwehren, ohne Falschmeldungen zu erzeugen.

Advanced-WAF-Lösungen bieten viele Vorteile

Die positive Botschaft: es gibt immer mehr erschwingliche ausgereifte Advanced-WAF-Lösungen auf dem Markt. Sie bieten eine Reihe bisher nicht gekannter Vorzüge:

  • Sie sorgen für robuste, anpassbare Sicherheit für jede Anwendung, ob im Rechenzentrum oder in der Cloud.
  • Sie schützen Web- und mobile Anwendungen vor bösartigen Bots und Exploits.
  • Sie verhindern die feindliche Übernahme von Nutzerkonten und unterbinden Versuche, im großen Stil Anmeldedaten zu stehlen und zu missbrauchen.
  • Sie schützen die Anmeldedaten, indem sie den Diebstahl verhindern und Maßnahmen gegen Angriffe bieten, bei denen vorher gestohlene Anmeldedaten missbraucht werden (etwa bei Credential Stuffing).
  • Sie ergreifen Gegenmaßnahmen bei DoS-Angriffen auf Anwendungsebene, beispielsweise durch automatisierte Anpassung der Konfiguration, Analyse von Client- und Serververhalten sowie dynamische Signaturen in Echtzeit.
  • Sie helfen Unternehmen dabei, Anwendungen über Multi-Cloud-Umgebungen hinweg zu schützen und eine höhere Performance, schnellere Reaktionszeiten und höhere Kosteneffizienz zu erzielen.

Zeit zu handeln

Jetzt, da die EU neue Grenzen beim Datenschutz zieht, sorgt eine ausgefeilte Advanced-WAF-Lösung dafür, dass Unternehmens- und Sicherheitsverantwortliche ruhig schlafen. Denn eine solche WAF-Lösung unterstützt Unternehmen dabei, Compliance-Regelungen einzuhalten. Außerdem schützt sie vor raffinierten Angriffen gegen die wertvollsten Aktivposten überhaupt: die Anwendungen und sensiblen Daten.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Redaktion

Recent Posts

Pentesting: Vom Luxus zum Standard

Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.

1 Tag ago

Must-haves einer Sicherheitsstrategie: Deep Observability und Zero Trust

Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…

2 Tagen ago

Open Source: Der gläserne Code als Schutzschild?

Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…

2 Tagen ago

Zukunftssichere Datensicherung als Treiber der intelligenten Wirtschaft

Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.

3 Tagen ago

Den Milliarden-Dollar-Bug vermeiden

Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…

3 Tagen ago

Nachhaltigeres Wirtschaftswachstum durch Daten und KI?

PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…

3 Tagen ago