Durchdachtes Informationsmanagement in Unternehmen gefordert
Durchdachtes Informationsmanagement in Unternehmen gefordert
Durchdachtes Informationsmanagement in Unternehmen gefordert
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
H<strong>in</strong>tergrundartikel<br />
Webapplikationssicherheit:<br />
<strong>Durchdachtes</strong> <strong>Informationsmanagement</strong> <strong>in</strong><br />
<strong>Unternehmen</strong> <strong>gefordert</strong><br />
Von Cyrill Osterwalder*<br />
Die Herausforderungen an Sicherheitsverantwortliche <strong>in</strong> <strong>Unternehmen</strong><br />
nehmen im Bereich Webapplikationssicherheit stetig zu.<br />
Webapplikationssicherheit erfolgreich <strong>in</strong> den Griff zu bekommen bedeutet,<br />
alle relevanten Informationen zum richtigen Zeitpunkt am richtigen Ort zu<br />
haben. Diese Herausforderung ist nicht re<strong>in</strong> technisch, sondern erfordert<br />
wichtige Entscheide zu Kommunikations- und Informationsfluss im<br />
Management.<br />
Blacklist versus Whitelist<br />
Die meisten verbreiteten Technologien zum Schutz von Webapplikationen<br />
konzentrieren sich sehr stark auf die Erkennung von bekannten Angriffsmustern,<br />
so genannten Blacklist-Signaturen. Schon länger bekannte Intrusion Detectionoder<br />
Intrusion Prevention-Systeme s<strong>in</strong>d die bekanntesten Ausprägungen dieser<br />
Art. Für Webapplikationen und Web Services vermittelt e<strong>in</strong> re<strong>in</strong>er Blacklist-<br />
Ansatz jedoch e<strong>in</strong> falsches Bild von Sicherheit. Die aktuellen Angriffe auf<br />
Webanwendungen s<strong>in</strong>d gezielt und immer auf die betroffene Webumgebung<br />
ausgelegt. Für e<strong>in</strong>en neuen, gezielten Angriff auf das eigene System gibt es<br />
noch ke<strong>in</strong>e Signatur, die e<strong>in</strong>en davor schützen kann. Die bisher stark betonte<br />
Blacklist-Filterung von bekannten Attacken reicht deshalb für e<strong>in</strong>en nachhaltigen<br />
und proaktiven Schutz nicht aus.<br />
Grundsätzlich ist das Problem bei Blacklist-Signaturen, dass sie re<strong>in</strong> reaktiv<br />
funktionieren und nur bekannte Angriffsmuster erkennen können. Ähnlich wie bei<br />
der Antivirus-Problematik lässt sich damit nur e<strong>in</strong> breit angelegter Angriff, wo die<br />
H<strong>in</strong>tergrundartikel: <strong>Durchdachtes</strong> <strong>Informationsmanagement</strong> <strong>in</strong> <strong>Unternehmen</strong> <strong>gefordert</strong> Seite 1 von 4
Muster an vielen verschiedenen Orten entdeckt werden, für weitere<br />
potenzielle Opfern verh<strong>in</strong>dern.<br />
Proaktiven, effektiven Schutz bietet nur e<strong>in</strong> dynamisches Whitelist<strong>in</strong>g, welches<br />
durch <strong>in</strong>telligente Methoden ermöglicht, nur gültige Requests und Daten zur<br />
Webapplikation zuzulassen. Entsprechend gilt heute diesen Methoden von Web<br />
Application Firewall (WAF)-Herstellern grösste Aufmerksamkeit. Mit e<strong>in</strong>em guten<br />
Whitelist<strong>in</strong>g-Schutz wird die Sicherheit von Webapplikationen und Web Services<br />
proaktiv selbst gegen heute noch unbekannte Angriffe signifikant erhöht.<br />
Statisch oder dynamisch<br />
Die meisten WAF-Lösungen bieten bereits Whitelist<strong>in</strong>g-Funktionen, aber nur die<br />
wenigsten stellen wirklich dynamische Methoden zur Verfügung. Verwirrend<br />
können dabei Market<strong>in</strong>g-Begriffe wie e<strong>in</strong> „Learn<strong>in</strong>g Mode“ oder „automatisch<br />
generierte Filterregeln“ se<strong>in</strong>, da diese e<strong>in</strong>e Dynamik suggerieren, die <strong>in</strong> der<br />
Realität nicht vorhanden ist. Auch generierte oder gelernte Filterregeln s<strong>in</strong>d <strong>in</strong><br />
der Umsetzung statisch und werden den heutigen Anforderungen an<br />
Webapplikationen nicht gerecht.<br />
Moderne Webapplikationen bieten den Benutzern kontextabhängig<br />
unterschiedliche Informationen und Interaktionsmöglichkeiten an. Damit s<strong>in</strong>d<br />
statische Filterregeln, egal ob automatisch generiert/gelernt oder manuell<br />
konfiguriert, nur sehr beschränkt nützlich.<br />
Neue, wirklich dynamische Filtermethoden können hier den <strong>Unternehmen</strong> viel<br />
mehr bieten und dabei nicht nur den dynamischen Schutz sondern gleichzeitig<br />
den e<strong>in</strong>facheren Betrieb garantieren.<br />
Webapplikationssicherheit als Management-Thema<br />
Der Trend geht e<strong>in</strong>deutig <strong>in</strong> Richtung dynamischer Whitelist-Funktionen. Für<br />
solche Mechanismen, wie auch generell für den Schutz von Webapplikationen<br />
und Web Services, müssen Informationen über die Applikation <strong>in</strong> das<br />
Schutzkonzept e<strong>in</strong>bezogen werden. Die Herausforderung, am richtigen Ort (zum<br />
H<strong>in</strong>tergrundartikel: <strong>Durchdachtes</strong> <strong>Informationsmanagement</strong> <strong>in</strong> <strong>Unternehmen</strong> <strong>gefordert</strong> Seite 2 von 4
Beispiel auf e<strong>in</strong>er Web Application Firewall) alle relevanten<br />
Informationen verfügbar zu haben, ist nicht nur technisch.<br />
In vielen <strong>Unternehmen</strong> s<strong>in</strong>d verschiedene Aspekte von<br />
Webapplikationssicherheit immer noch sehr getrennt organisiert (beispielsweise<br />
Netzwerk-Sicherheit, Topologie, DMZ-Architektur, SSL/Protokoll Term<strong>in</strong>ierung,<br />
Input-Validierung, Authentisierung etc.), obwohl sie für e<strong>in</strong> effizientes<br />
Schutzkonzept geme<strong>in</strong>sam betrachtet werden müssen.<br />
Die Herausforderung für die Management-Ebene ist es, sicherzustellen, dass alle<br />
relevanten Informationen an den richtigen Orten verfügbar s<strong>in</strong>d, ohne dabei<br />
mühsam zu pflegende Redundanzen zu schaffen. Das bedeutet oft, dass neue<br />
Kommunikationskanäle etabliert werden müssen. Auch diese s<strong>in</strong>d nicht <strong>in</strong> erster<br />
L<strong>in</strong>ie <strong>in</strong> technischen Funktionen zu suchen, sondern müssen im ersten Schritt<br />
organisatorisch berücksichtigt werden. Im zweiten Schritt können mit den<br />
richtigen Technologien, welche diese Aspekte <strong>in</strong> den Konzepten berücksichtigen,<br />
effizient betreibbare Lösungen implementiert werden.<br />
Der Betrieb von Sicherheitslösungen zum Schutz von Webapplikationen kann<br />
nur dann effizient und effektiv funktionieren, wenn auch die dafür nötigen<br />
applikatorischen Informationsflüsse etabliert s<strong>in</strong>d und funktionieren. Das<br />
e<strong>in</strong>fachste Beispiel s<strong>in</strong>d Anpassungen <strong>in</strong> e<strong>in</strong>er Applikation (zum Beispiel über<br />
neuen Applikationsrelease oder Patch), welche immer wieder<br />
Konfigurationsanpassungen <strong>in</strong> anderen Systemen (beispielsweise e<strong>in</strong>er WAF)<br />
erfordern. Bei e<strong>in</strong>er wirklich dynamischen Lösung sollte dies nicht nötig se<strong>in</strong>.<br />
* Cyrill Osterwalder ist Experte für Webapplikationssicherheit und Senior Vice President<br />
Web Application Security bei der phion AG. Ausserdem ist er Mitglied des Web<br />
Application Security Consortium (WASC, www.webappsec.org) und erarbeitet dort<br />
Richtl<strong>in</strong>ien und Kriterien für höhere Sicherheit von Webapplikationen.<br />
H<strong>in</strong>tergrundartikel: <strong>Durchdachtes</strong> <strong>Informationsmanagement</strong> <strong>in</strong> <strong>Unternehmen</strong> <strong>gefordert</strong> Seite 3 von 4
Über phion:<br />
Die phion AG ist e<strong>in</strong>er der führenden europäischen Anbieter für Lösungen zum Schutz der<br />
<strong>Unternehmen</strong>skommunikation. Mit dem netfence-Produktportfolio bietet phion Lösungen für<br />
höchste Ansprüche an Verfügbarkeit, Sicherheit und Management. ‚phion netfence’ adressiert<br />
konsequent sämtliche sicherheitsrelevanten Aspekte: Von der Verteidigung am Perimeter über die<br />
sichere und hochverfügbare Anb<strong>in</strong>dung von Filialen bis h<strong>in</strong> zur Abwehr gefährlicher Inhalte und<br />
dem Schutz des <strong>in</strong>ternen Netzwerks. Webapplikationen wie e-Bank<strong>in</strong>g-Plattformen und Web<br />
Services werden von ‚phion Airlock’ vor Angriffen und Missbrauch geschützt.<br />
Alle phion-Produkte verfügen zudem über e<strong>in</strong> zentrales Management und zeichnen sich durch<br />
besonders günstige TCO aus.<br />
phion ist im mid market Segment der Wiener Börse gelistet (Kürzel: PHIO) und hat se<strong>in</strong>en<br />
Hauptsitz <strong>in</strong> Innsbruck, Österreich. Zu den Kunden von phion zählen namhafte, <strong>in</strong>ternational tätige<br />
<strong>Unternehmen</strong> aus allen Branchen.<br />
Weitere Informationen stehen unter: http://www.phion.com zur Verfügung.<br />
H<strong>in</strong>tergrundartikel: <strong>Durchdachtes</strong> <strong>Informationsmanagement</strong> <strong>in</strong> <strong>Unternehmen</strong> <strong>gefordert</strong> Seite 4 von 4
Change language