Impressum
Aktuelles
Unternehmensprofil
Sicherheitsloesungen
Dienstleistungen
Trainings
Presse
Startseite
Uebersicht
Pressemeldungen
Veröffentlichungen
Berichterstattung
Aktuelle Marktnachrichten
Was ist was?

Gefahren und Möglichkeiten zur Absicherung von Web-Shops

Als Betreiber eines Web-Shops hat man es nicht leicht. Zunächst muss man sich mit einer Vielzahl von Web-Techniken, Applikationsservern oder Programmiersprachen wie Java auseinandersetzen, um den Shop zum Laufen zu bringen Man baut Firewalls auf, um die Kundendaten vor Hackern zu schützen.

Anschließend kommen Sicherheitsexperten und erklären, dass Firewalls eine Web-Applikation gar nicht beschützen können, da die Angriffe auf „Applikationsebene“ erfolgen würden. Neue Schlagwörter wie „SQL-Injection“ oder „Cross Site Scripting“ bezeichnen Angriffstechniken, die ohne spezielle „Hacker-Werkzeuge“, sondern nur mit einem Browser und über den erlaubten Zugriff auf den Webserver funktionieren.

Wie soll man sich davor schützen? Was muss man tun, um eine Web-Applikation wie zum Beispiel einen Online-Shop sicher betreiben zu können?

Zunächst einmal ist die Erkenntnis wichtig, dass es alleine mit einer Firewall oder dem externen Betrieb des Servers bei einem Provider nicht getan ist. Eine Web-Applikation, die Benutzereingaben weiter verarbeitet oder Daten aus einer Datenbank abfragt, bietet meist Angriffsfläche für Manipulationen. Ob dies im Einzelfall tatsächlich so ist, hängt davon ab, wie stark schon bei der Entwicklung auf den Sicherheitsaspekt geachtet wurde.

Es geht dabei um relativ einfache Grundregeln wie das Prüfen der Länge und der erlaubten Zeichen von Benutzereingaben und Parametern. Leider kennen viele Software-Entwickler diese Regeln nur oberflächlich und machen deshalb Fehler. Eine Schulung über die Angriffsmethoden der Hacker im Bezug auf Web-Applikationen wirkt da oft Wunder. Wenn ein Software-Entwickler einmal verstanden hat, wo das Problem liegt, fällt das Verstehen und Einhalten von Regeln zur sicheren Programmierung sehr viel leichter. Dennoch wird das Entwickeln von Web-Applikationen immer ein fehlerbehafteter Prozess bleiben. Selbst die besten Software-Engineering-Methoden können nichts daran ändern, dass Menschen Fehler machen und dass diese Fehler zu Angriffsmöglichkeiten führen können.

Zum Auffinden von Schwachstellen und Angriffsmöglichkeiten bei Web-Shops gibt es spezialisierte Werkzeuge, die sich teilweise in die bekannten Software-Entwicklungs­umgebungen einklinken und möglichst früh auf Verwundbarkeiten hinweisen. Diese haben nichts mit den bekannten Netzwerk-Verwundbarkeits-Scannern wie Nessus oder NMap und ihren kommerziellen Verwandten zu tun, sondern arbeiten völlig anders. Sie durchsuchen alle Seiten eines Webservers bzw. Shops und prüfen die Reaktion des Servers auf manipulierte Anfragen und Eingabewerte in die einzelnen Eingabefelder.

Ein Problem beim Suchen und Beheben von Schwachstellen ist, dass man häufig gar keinen Einfluss auf die Entwicklung des Web-Shops hat, sondern fertige Plattformen und sogar komplette Produkte einsetzt. In einem solchen Fall hilft die Diskussion über sichere Software-Entwicklung nicht weiter. Selbst wenn man offensichtliche Verwundbarkeiten in eingekauften Software-Produkten im Rahmen einer Sicherheitsüberprüfung finden sollte, hat man doch keinen Zugriff auf den Quellcode und ist darauf angewiesen, dass der Hersteller das Problem irgendwann behebt.

Als Alternative kann man sich spezialisierte Produkte zum proaktiven Schutz von Webservern und Applikationen näher ansehen. Dedizierte Sicherheitsprodukte, die man vor einen Web-Shop oder eine andere Web-Applikation stellen kann, um Angriffe zu verhindern, gibt es bereits seit vier bis fünf Jahren. Man nennt sie „Web-Applikations-Filter“, Web Application Firewalls“ oder einfach nur WAF. Die Produkte arbeiten meist auf Basis eines so genannten „Reverse Proxies“ und kontrollieren alle Benutzereingaben, Parameter oder Cookies, so dass Angriffe gar nicht erst bis zum Webserver kommen können. Dazu lernen die Produkte die erlaubten Längen und Wertebereiche von Eingabefeldern teilweise automatisch, um den administrativen Aufwand möglichst gering zu halten.

Einige Produkte in diesem Umfeld enthalten neben dem Schutz auf Anwendungsebene zusätzlich auch Firewall- oder IPS-Funktionen zum Schutz auf Netzwerkebene oder Funktionen zur Lastverteilung und Optimierung bzw. Beschleunigung des Web-Datenverkehrs. Derartige Produkte sind deshalb nicht immer zusätzliche Kosten, sondern eventuell ersparen sie gleichzeitig andere Sicherheitskomponenten, Load-Balancer oder Caching-Systeme ein.

Stefan Strobel, Geschäftsführer und Gründer der cirosec GmbH.

zurück
Bild Veröffentlichungen