Sicherheitsmaßnahmen lassen sich heute primär in die Kategorien
Serverhärtung, Daten- und Kommunikationsverschlüsselung einordnen. Beispielsweise werden alle nicht durch
Anwendungen benötigten Ports des Servers gesperrt, unverschlüsselte Kommunikationsprotokolle auf solche mit Verschlüsselung umgestellt oder hoch
vertrauliche Daten in der Datenbank verschlüsselt abgespeichert. Eine beliebte Maßnahme ist unter anderem auch das Einrichten einer Firewall und
expliziten Freischaltung der IP-Adressen oder IP-Kreise berechtigter User.
Sicherheitslücke Web-Applikation
Alle genannten und viele andere weit verbreite Maßnahmen lassen jedoch eine potenzielle und gegebenenfalls für Angriffe äußerst
anfällige Sicherheitslücke unberücksichtigt:
Die Web-Applikation
... mehr infos
Die Web-Applikation erlaubt grundsätzlich den Zugriff auf Application Server und Datenbanken. Ist ein User erst einmal erfolgreich angemeldet, wird
die Kommunikation durch alle Firewalls hindurch und mit unverschlüsselten, lesbaren Daten ermöglicht. Ist also die Web-Applikation nicht ausreichend
geschützt und gelingt es einem Angreifer illegal eine valide Session zu nutzen, so stehen ihm Tür und Tor zum Gesamtsystem offen.
Gefährdungspotenzial
Es ist oftmals erstaunlich, durch welch einfache Mittel sich ein Angreifer nicht autorisierten Zugriff auf eine Web-Applikation verschaffen kann. In
vielen Fällen lassen sich derartige illegale Zugriffe selbst von Laien mit minimalen Kenntnissen ausführen. Der hierbei verursachte Schaden kann
jedoch ernorm sein.
... mehr infos
Grundsätzlich lassen sich dabei mehrere Schadenstypen unterscheiden:
|
»
|
Im ersten Fall erfolgt durch den Angreifer durch Injektion schadhaften Codes eine empfindliche Störung des
Systembetriebs bis hin zur Stilllegung des Gesamtsystems. |
|
»
|
Im zweiten Fall werden Daten des Systems abgegriffen und anschließend, gegebenenfalls zeitlich deutlich
verzögert, für illegale Zwecke missbraucht. |
|
»
|
Im dritten Fall erfolgt, sofern sich der Angreifer entsprechende Berechtigungen verschaffen kann, eine bemerkte oder
sogar unbemerkte Manipulation der im System vorgehaltenen Daten. |
Weitere Fälle sind denkbar, jedoch ist bereits anhand der oben genannten Beispiele ersichtlich, dass durch unsichere Web-Applikationen erheblicher
Schaden für ein Unternehmen entstehen kann.
