Herkömmlicher Schutz reicht nicht aus. - Warum?

Zur Beantwortung dieser Frage hilft ein Blick in die technischen Grundlagen der Kommunikation im Internet, dargestellt anhand einer typischen E-Business-Infrastruktur:

Die Anfragen des Internetnutzers werden auf Seiten des Betreibers durch traditionelle Sicherheitskomponenten wie Firewall, Reverse Proxy und Intrusion Detection Systeme überprüft, bevor sie über die Webserver zur Applikation gelangen.

Eine typische E-Banking-Transaktion kann z. B. aus folgendem Request bestehen. In der folgenden Darstellung sind die Daten auf die jeweiligen Protokollschichten im Internet aufgeschlüsselt:

Dieser Request wird auf seinem Weg vom Client zum Backend-System typischerweise wie folgt auf potenzielle Angriffe analysiert:

Wie die obige Darstellung deutlich zeigt, wird der Business-Logic-Layer, eventuell mit Ausnahme von einfacher Mustererkennung durch IDS/IPS, Reverse Proxy-Server oder Deep-Inspection-Firewalls, nicht bzw. nicht ausreichend analysiert.

• Die genannten Sicherheitssysteme wurden, historisch bedingt, zum Schutz der unteren sog. Transportschichten entwickelt. Und hier leisten sie auch sehr gute Arbeit.
• Jede Web-Anwendung benutzt letztlich HTTP nur noch um eine eigene Applikations-spezifische Logik mitzutransportieren.
  Letztlich muss deshalb jede Anwendung spezifisch geschützt werden.
• Wichtige Daten werden oft SSL-verschlüsselt übertragen und können deshalb von herkömmlichen IT-Sicherheitslösungen nur schwer untersucht werden.

• Die Web-Anwendungen sprechen eine Sprache, die Firewalls, Reverse Proxy Server und IDS bzw. IPS-Systeme nicht kennen.