Schutz durch Kombination

Cyrill Osterwalder ist CEO von Visonys und Mitglied des Web Application Security Consortium (WASC).

Massnahmen im Bereich Webapplikationssicherheit werden in vielen Unternehmen aus historischen oder herstellergetriebenen Gründen heute immer noch separiert behandelt. Dies führt unmittelbar zu unnötiger Komplexität und weniger Effektivität. Um auf applikatorischer Ebene die richtigen Sicherheitsentscheidungen fällen zu können, müssen verschiedene Informationen zum richtigen Zeitpunkt am richtigen Ort verfügbar sein. Durch punktuelle, verzettelte Massnahmen in einzelnen Teilbereichen wird dies allerdings erheblich erschwert. Damit erhöht sich automatisch die Chance für den Angreifer. Im Fall von Web Application Firewalls gilt dies insbesondere für die Themen Authentisierung, Zugriffskontrolle, SSL-Terminierung, Filterung, Protokollvalidierung und Monitoring.

Ähnlich wie bei physischen Sicherheitsmassnahmen am Flughafen, wo Ticket, Pass, Gepäck und Personen eingehend überprüft werden, bevor sie ins Flugzeug gelangen, ist es bei der Webapplikationssicherheit entscheidend, sich mit beiden Fragen - also erstens, wer jemand ist, und zweitens, was er tut - vorgelagert zu beschäftigen. Im Fall einer Webapplikation oder -umgebung mit registrierten Benutzern sollte die vorgelagerte Authentisierung stets im Vordergrund stehen. Für öffentlich zugängliche Webapplikationen und -seiten hingegen ist die Filterung von Protokollen, Anfragen und Daten am wichtigsten. Da heutige Webapplikationen meistens beides beinhalten, sind technische Lösungen gefragt, die beide Themen sowohl effizient als auch umfassend abdecken.

Das einfachste Beispiel sind Applikationen mit registrierten Benutzern, die sich authentisieren müssen. Dies ist beispielsweise beim E-Banking oder auch auf Portalen von Versicherungen, Behörden oder Lieferanten üblich. Die Login-Seite ist jeweils öffentlich zugänglich und dementsprechend auch von überall her angreifbar. Zum Schutz der Login-Seite sind deshalb strenge Filterkriterien von entscheidender Bedeutung. Für den Rest der Applikation hingegen ist es wesentlich wichtiger, dass wirklich nur korrekt authentisierte Benutzer überhaupt zugreifen können. Diese zwei Herausforderungen lassen sich durch vorgelagerte Authentisierung und umfassende Filterung in einer Web Application Firewall (WAF) ideal kombinieren.

Bei den meisten Unternehmen werden die Entscheidungen für die Art der Authentisierung in erster Linie aufgrund wirtschaftlicher und betrieblicher Gründe gefällt. Zudem gibt es bei mittleren und grösseren Unternehmen oft nicht nur eine einzige Art der Authentisierung. Vielmehr kommen häufig ganz verschiedene Varianten zur Anwendung. So kommen beispielsweise starke Authentisierung für den externen Zugriff, mittlere Authentisierung für internen Zugriff oder eine separate Variante für den B2B-Kanal zum Einsatz.