Unterliegen Sie nicht der Illusion der Sicherheit

Wenn Sie 3 grundlegende Regeln missachten, kann jede noch so gute Sicherheitseinrichtung Ihre Website nicht vor kybernetischen Angriffen schützen

Zahlreiche Manager sind sich der Risiken bewusst, die im Internet auf ihre Firmenwebsite lauern. Bewusstere IT-Abteilungen lassen sich deshalb nach und nach durch die Illusion der absoluten Sicherheit anlocken, die der Einsatz einer Applikationsfirewall auf der Website zum Anschein haben kann. Es handelt sich um ein immer beliebteres Gerät, dass zwischen den Webserver und das Internet „geschoben“ wird, der zum Beispiel einen E-Shop oder eine Internetbank schützt.

Eine gute Web Application Firewall kann bei dem Schutz von Web Apps gegen Gefahren aus dem Internet (zum Beispiel gegen den Versuch, die Website zu überfluten und außer Funktion zu setzen, oder der Versuch von Hackern, einzudringen und Daten zu stehlen) außerordentlich wirksam. Für den Schutz kann sie eine Kombination mehrerer Techniken nutzen.

Zum Beispiel schöpft sie Informationen aus der ständig aktualisierten Datenbank der IP Adressen, von denen gerade Angriffe aus erfolgen, vor allem bemüht sie sich aber die geschützte App zu erkennen. Einfach gesagt, das Gerät prüft ständig die App, analysiert, was aus ihrer Sicht logisch normal ist und was nicht, wodurch es auch unbekannte Gefahrentypen abwehren kann. Außerdem kann es sich Änderungen anpassen, also, wenn Sie die App ständig aktualisieren und ändern, so passt sich der Web Application Server an die Änderungen und automatisch an ihre neue Funktionalität an.

Die Sicherheit im IT-Bereich besteht nicht nur aus einer Schicht und schon gar nicht gilt, dass es reicht, sich nur auf eine davon zu konzentrieren.

Hier sind 3 Dinge, denen Sie Ihre Aufmerksamkeit vor dem Einbau einer Web Application Firewall nicht entgehen sollte.

• An die Sicherheit einer Web Applikation sollte man schon bei der Planung ihrer Architektur, bei der Wahl der Plattform und bei der Entwicklung denken, wo häufig Fehler und somit eine Verletzbarkeit entstehen. Mit anderen Worten, eine Web Applikation ist so zu planen, damit sie nicht nur möglichst gut funktioniert, sondern auch nicht „löchrig“ und leicht verletzbar ist. Nicht alle Entwickler halten sich an diese Philosophie.

• Auch Programmierer sind nur Menschen, die sich oft zu sehr nur auf ihre Arbeit konzentrieren. Bei dem Abstimmen und Testen der App kann ihnen dann der erforderliche Abstand. fehlen, denn es ist nützlich, nach der Entwicklung einer App eine Revision des Codes vorzunehmen und die Sicherheitsrisiken auch durch eine Drittpartei prüfen zu lassen. Hierzu ist nicht immer eine externe Firma anzumieten, manchmal reicht es, wenn eine solche Kontrolle durch einen anderen Programmierer und ein anderes Entwicklungsteam erfolgt.

• Das dritte Bauelement eines gut abgesicherten Webs sind die Penetrationsteste. Diese haben regelmäßig und verhältnismäßig oft zu erfolgen. Manchmal sparen die Firmen und führen die Penetrationsteste nicht quartalsmäßig, sondern zum Beispiel 1x Mal jährlich durch, auch wenn sie die Webb Applikation inzwischen 4x Mal aktualisieren. Die Internetgefahren ändern sich jedoch wortwörtlich tagtäglich und die Aufgabe der Penetrationsteste besteht darin, auch Risiken aufzudecken, die aus neuen, bislang unbekannten Gefahren folgen.

Wenn Sie eine gut geplante, entwickelte und auditierte Web Applikation haben, ist die Web Application Firewall sozusagen das besagte letzte I-Tüpfelchen, dass Ihnen hilft, die Risiken des Entweichens und Missbrauchs von Daten, der Zugänglichkeit oder Änderung Ihres Webs  oder des Kompromittierens von durch Sie online gewährten Finanztransaktionen zu minimieren. Denken Sie daran, ein 100 %-igen Schutz gibt es nicht – es ist immer eine optimale Balance zwischen dem Sicherheitsniveau (und den zusammenhängenden Kosten) und den potentiellen Risiken zu finden.