Achillesferse Web-Anwendung: Neue Ära der Bedrohung

Machen Sie Ihre Netz-Filiale immun gegen Web-Attacken!

Eine klassische Firewall kann hier nichts ausrichten! Denn sie erfüllt genau den Sicherheitszweck, für den sie vorgesehen ist. Und das ist die Überprüfung der sogenannten Transportebene einer Anfrage. Entspricht der Request im äußeren Erscheinungsbild bestimmten Kriterien? Kann er einen bestimmten 'Ausweis' vorzeigen? Dann wird er an Firewall & Co. problemlos vorbeigewunken. In die 'Taschen' der Anfrage schaut dabei niemand.

Hier aber lauern gerade die Gefahren. So sieht beispielsweise eine SQL-Injection-Attacke auf den ersten Blick aus wie eine harmlose Anfrage. Wenn jedoch ein Angreifer im Eingabefeld 'Name' statt des Nachnamens einen SQL-Befehl eintippt und dieser Befehl akzeptiert wird, kann er auf diesem Wege ohne Berechtigung sensible Informationen aus der Datenbank abfordern. Böswillige Requests in großer Menge können sogar ganze Web-Anwendungen lahmlegen – beispielsweise wenn sie rechenintensive Datenbankabfragen auslösen.

Bei 'Man-in-the-Middle'-Attacken schaltet sich der Datendieb zwischen die beiden Kommunikationspartner – beispielsweise Bank und Kunde. Da er nach dem Janusprinzip beiden Teilnehmern den jeweils anderen vorspiegelt, gelingt es ihm, Datenströme an seine Adresse umzulenken. Egal, ob beim Session-Riding – der unberechtigten Übernahme einer HTTP-Session – oder dem Cross-Site-Scripting, bei dem der Browser des Benutzers angegriffen wird: Datendiebe kommen an falsche Identitäten. So können sie im Namen des Geschädigten nahezu alle Geschäfte abwickeln, von falschen Überweisungen bis hin zu Dispokrediten. Es entstehen hohe wirtschaftliche Schäden und besonders Image- und Vertrauensverluste. Diese wieder zu reparieren, ist schwierig.