Webapplikationen: Hintertüren für Hacker

Die Zahl der Angriffe auf Webapplikationen steigt rasant. Grund: Die Programme auf dem Webserver sind oft unzureichend geschützt. Über die Schwachstellen lassen sich aber nicht nur die Webapplikationen selbst angreifen - sie sind oft auch ein Einfallstor für Cyberkriminelle in die Firmeninformatik.

Die Auswirkungen erfolgreicher Attacken auf Webapplikationen werden häufig unterschätzt - oder gar nicht erst erkannt.

» Von Cyrill Osterwalder, 03.04.2007 08:40. Letztes Update, 03.04.2007 08:43.

Cyrill Osterwalder ist CEO von Visonys. Die Zürcher Firma hat sich auf den Schutz von Webapplikationen spezialisiert.

Wie verwundbar Webauftritte sind, zeigt der Fall der Schweizer Grossbank UBS, welcher im Februar für erhebliche Schlagzeilen sorgte. Damals hatte ein Sicherheitsexperte auf diversen internationalen Seiten des Bankkonzerns sogenannte XSS-Lücken (Cross-Site-Scripting) publik gemacht. Diese Lücken ermöglichen es einem Angreifer, gefälschte Seiten anstatt der Originalseiten aufzuschalten und damit Kontodaten der E-Banking-Kunden auszuspionieren. Ein Problem, das für sich alleine betrachtet schon schlimm genug ist. Und das bei genauerer Betrachtung die Alarmglocken von Firmen in den hellsten Tönen schrillen lassen muss. Immerhin stellen Webapplikationen auch die Schnittstelle zwischen der unternehmensinternen IT und dem Internet dar. Überwindet also ein Angreifer die Schranken, welche ihm von der Webanwendung in den Weg gelegt werden, kann er die Kontrolle über den Webserver übernehmen. Damit steht ihm auch der Weg zu sensiblen und vertraulichen Daten frei. Das zeigt: Webapplikationen stellen ein nicht unerhebliches, potenzielles Sicherheitsrisiko dar, da sie zusätzlich zum Webserver eine weitere fehleranfällige Schicht einführen.

Genauso wie «normale» Anwendungen werden Webapplikationen mit Hilfe einer Programmiersprache entwickelt. Entsprechend sind sie ebenso anfällig für Schwachstellen. Erschwerend kommt hinzu, dass Webapplikationen normalerweise speziell für einen bestimmten Anwendungsfall entwickelt werden - nur selten handelt es sich dabei um Standardsoftware. Unternehmens-interne Entwickler sind mit den möglichen Sicherheitsproblemen von Webapplikationen aber nicht immer im Detail vertraut und wissen nicht genau, welche Standardfehler sie vermeiden müssen.

Das hingegen wissen die kriminellen Elemente ganz genau. Und weil die Anwendungsebene oft nur lückenhaft gegen Angriffe von aussen geschützt ist, bietet sie ein entsprechend leichtes Ziel. Mit teilweise verblüffender Leichtigkeit gelangen Angreifer an vertrauliche Benutzerdaten, lösen betrügerische Transaktionen aus, legen ganze Systeme lahm, verunstalten Webseiten oder betreiben ganz gezielt Wirtschaftsspionage. So erwartet beispielsweise die Melde- und Analysestelle Informationssicherung des Bundes «Melani» im aktuellsten Halbjahresbericht, dass «Angriffe unter Ausnützung von Sicherheitslücken in Applikationssoftware weiter zunehmen und sowohl Unternehmen wie auch Privatanwender gleichermassen davon betroffen sein werden.»

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.