Hintertüren für Hacker

Cyrill Osterwalder ist CEO von Visonys. Die Zürcher Firma hat sich auf den Schutz von Webapplikationen spezialisiert.

Wie verwundbar Webauftritte sind, zeigt der Fall der Schweizer Grossbank UBS, welcher im Februar für erhebliche Schlagzeilen sorgte. Damals hatte ein Sicherheitsexperte auf diversen internationalen Seiten des Bankkonzerns sogenannte XSS-Lücken (Cross-Site-Scripting) publik gemacht. Diese Lücken ermöglichen es einem Angreifer, gefälschte Seiten anstatt der Originalseiten aufzuschalten und damit Kontodaten der E-Banking-Kunden auszuspionieren. Ein Problem, das für sich alleine betrachtet schon schlimm genug ist. Und das bei genauerer Betrachtung die Alarmglocken von Firmen in den hellsten Tönen schrillen lassen muss. Immerhin stellen Webapplikationen auch die Schnittstelle zwischen der unternehmensinternen IT und dem Internet dar. Überwindet also ein Angreifer die Schranken, welche ihm von der Webanwendung in den Weg gelegt werden, kann er die Kontrolle über den Webserver übernehmen. Damit steht ihm auch der Weg zu sensiblen und vertraulichen Daten frei. Das zeigt: Webapplikationen stellen ein nicht unerhebliches, potenzielles Sicherheitsrisiko dar, da sie zusätzlich zum Webserver eine weitere fehleranfällige Schicht einführen.

Genauso wie «normale» Anwendungen werden Webapplikationen mit Hilfe einer Programmiersprache entwickelt. Entsprechend sind sie ebenso anfällig für Schwachstellen. Erschwerend kommt hinzu, dass Webapplikationen normalerweise speziell für einen bestimmten Anwendungsfall entwickelt werden - nur selten handelt es sich dabei um Standardsoftware. Unternehmens-interne Entwickler sind mit den möglichen Sicherheitsproblemen von Webapplikationen aber nicht immer im Detail vertraut und wissen nicht genau, welche Standardfehler sie vermeiden müssen.

Das hingegen wissen die kriminellen Elemente ganz genau. Und weil die Anwendungsebene oft nur lückenhaft gegen Angriffe von aussen geschützt ist, bietet sie ein entsprechend leichtes Ziel. Mit teilweise verblüffender Leichtigkeit gelangen Angreifer an vertrauliche Benutzerdaten, lösen betrügerische Transaktionen aus, legen ganze Systeme lahm, verunstalten Webseiten oder betreiben ganz gezielt Wirtschaftsspionage. So erwartet beispielsweise die Melde- und Analysestelle Informationssicherung des Bundes «Melani» im aktuellsten Halbjahresbericht, dass «Angriffe unter Ausnützung von Sicherheitslücken in Applikationssoftware weiter zunehmen und sowohl Unternehmen wie auch Privatanwender gleichermassen davon betroffen sein werden.»

Generell werden die Auswirkungen einer erfolgreichen Attacke auf eine Webapplikation vielfach unterschätzt oder - noch schlimmer - gar nicht erst erkannt. Dabei können die Auswirkungen eines Angriffs verheerende Folgen haben: Nach der Übernahme eines Webservers ist ein Angreifer nicht nur in der Lage, Dateien selbst zu erstellen, zu ändern und zu löschen. Er kann überdies weitere Systeme im internen Netz angreifen, ohne dabei von einer exter-nen Firewall behindert zu werden. Auch die Datenbank geht nach einer gelungenen Attacke vielfach in den Besitz des Angreifers über. Parallel dazu kann ein Hacker die lokalen Benutzerkonten knacken und deren Passwörter auslesen. Die auf diese Art und Weise erlangten Kennwörter können dann in den allermeisten Fällen auch auf anderen Systemen im Firmennetzwerk -verwendet werden.

Eine weitere Gefahr ist die heutige Abhängigkeit der Wirtschaft von Webservices. Sie wird erbarmungslos ausgenutzt. Gerade weil Webapplikationen jedes Unternehmen exponieren und vielfach zu einem geschäftskritischen Erfolgsfaktor geworden sind, reicht oftmals nur schon die Androhung einer Attacke, um an Geld zu kommen. -Erpressung hat neben Diebstahl und Sabotage auch im Cyberspace Einzug gehalten und verbreitet sich laufend weiter.

Neben dem Schutz vor Viren und der Bekämpfung von Spam muss der Schutz von Webapplikationen aus den dargelegten Gründen oberste Priorität haben. Denn Sicherheit (also die Abwehr von Unerwünschtem) und Verfügbarkeit (die Bewältigung von hohen Lasten) sind für einen zuverlässigen Betrieb von Webapplikationen un-abdingbare Voraussetzungen. Durch die Kombination von vorgelagerten Sicherheitsfunktionen in einem Application Security Gateway und Massnahmen in der Applikationsentwicklung muss das Ziel angestrebt werden, die Risiken für Angriffe tief zu halten und möglichst wenig Informationen über die Webanwendung und die verwendeten Technologien Preis zu- geben.

Zusammenfassend kann festgehalten werden, dass der fundamentale Wandel der Bedrohungslage einen wirksamen und umfassenden Schutz von Webapplikationen unbedingt erforderlich macht. Dessen sollte sich heute jedes Unternehmen bewusst sein. Informationssicherheit darf dabei nicht isoliert ohne Einbezug der Prozesse, der Menschen sowie der Geschäftsziele betrachtet werden. Letztlich bilden die technologischen Lösungen nur einen Teil der gesamten Sicherheit. Ebenso wichtig ist es, eine Sicherheitskultur innerhalb der Organisation zu etablieren, die von den Mitarbeitern, den IT-Verantwortlichen und der Geschäftsleitung gleichermassen mitgetragen und gelebt wird - und da besteht mit Sicherheit noch Handlungsbedarf. Nur, wenn alle zusammen die gleiche Sprache sprechen, kann der angestrebte Grad an Sicherheit für das Unternehmen auch tatsächlich erreicht werden.

Begriffserklärung

Mit Cross Site Scripting (XSS) ist eine neue Dimension des Phishing möglich. Beim XSS präsentiert ein Hacker dem Benutzer - etwa einer Online-Bank - eine Webseite, welche zwar vertrauenswürdig aussieht, es aber nicht ist. Gibt der Benutzer auf dieser Webseite seine persönlichen Daten ein, werden die Informationen abgefangen. Der Hacker verwendet die so ergaunerten Daten, um etwa auf der «richtigen» Banking-Site Geld auf sein eigenes Konto zu überweisen. Gleichzeitig hält er den Benutzer mit plausibel erscheinenden Antwort-Webseiten bei der Stange. Bei XSS-Attacken werden Sicherheitslücken der Webapplikation ausgenutzt. Durch die Kombination von XSS mit Phishing ist der Angriff in der Praxis viel schwieriger zu erkennen als bei herkömmlichen Phishing-Attacken.

Tipps für E-Banking-Benutzer

Schliessen Sie vor jeder E-Banking-Sitzung den Web-Browser und öffnen Sie ihn erneut.

Üben Sie parallel zum E-Banking keine anderen Online-Tätigkeiten (E-Mail etc.) aus.

Geben Sie die URL der Bank manuell ein.

Halten Sie alle Updates für Browser und Betriebssystem jederzeit à jour.

Tipps für Website-Betreiber

Betreiben Sie Ihre Webapplikationen nicht auf dem gleichen Server, auf dem auch geschäftskritische Transaktionen oder Anwendungen wie etwa eine Datenbank laufen.

Sorgen Sie dafür, dass die SSL-Verschlüsselungen (Secure Socket Layer) bereits vor dem Webserver entschlüsselt werden. Damit stellen Sie sicher, dass der Datenverkehr untersucht und notfalls abgewiesen werden kann.

Trennen Sie den Login-Dienst von der Business-Logik. Fehlmanipulationen bei der Authentifizierung haben dann keine Auswirkungen auf den Rest der Firmen-IT.

Sorgen Sie dafür, dass alle eingehenden Anfragen mit HTTP (Hypertext Transfer Protocol) und HTTPS (S für Secure) am besten auf Protokoll- und Datenebene detailliert gefiltert und validiert werden, bevor sie den Applikationsserver erreichen.

Der Webseitenbesuch (Session Handling) sollte heute wenn immer möglich mit der SSL Session ID organisiert werden und nicht über ein Session Cookie.