Sicherheitsmaßnahmen lassen sich heute primär in die
Kategorien
Serverhärtung, Daten- und
Kommunikationsverschlüsselung einordnen.
Beispielsweise werden alle nicht durch Anwendungen benötigten
Ports des Servers gesperrt, unverschlüsselte
Kommunikationsprotokolle auf solche mit Verschlüsselung
umgestellt oder hoch vertrauliche Daten in der Datenbank
verschlüsselt abgespeichert. Eine beliebte Maßnahme ist
unter anderem auch das Einrichten einer Firewall und expliziten
Freischaltung der IP-Adressen oder IP-Kreise berechtigter User.
Sicherheitslücke
Web-Applikation
Alle genannten und viele andere weit verbreite Maßnahmen
lassen jedoch eine potenzielle und gegebenenfalls für Angriffe
äußerst anfällige Sicherheitslücke
unberücksichtigt:
Die Web-Applikation
... mehr infos
Die Web-Applikation erlaubt grundsätzlich den Zugriff
auf Application Server und Datenbanken. Ist ein User erst einmal
erfolgreich angemeldet, wird die Kommunikation durch alle Firewalls
hindurch und mit unverschlüsselten, lesbaren Daten
ermöglicht. Ist also die Web-Applikation nicht ausreichend
geschützt und gelingt es einem Angreifer illegal eine valide
Session zu nutzen, so stehen ihm Tür und Tor zum Gesamtsystem
offen.
Gefährdungspotenzial
Es ist oftmals erstaunlich, durch welch einfache Mittel sich
ein Angreifer nicht autorisierten Zugriff auf eine Web-Applikation
verschaffen kann. In vielen Fällen lassen sich derartige
illegale Zugriffe selbst von Laien mit minimalen Kenntnissen
ausführen. Der hierbei verursachte Schaden kann jedoch ernorm
sein.
... mehr infos
Grundsätzlich lassen sich dabei mehrere Schadenstypen
unterscheiden:
|
»
|
Im ersten Fall erfolgt
durch den Angreifer durch Injektion schadhaften Codes eine
empfindliche Störung des Systembetriebs bis hin zur
Stilllegung des Gesamtsystems. |
|
»
|
Im zweiten Fall werden
Daten des Systems abgegriffen und anschließend, gegebenenfalls
zeitlich deutlich verzögert, für illegale Zwecke
missbraucht. |
|
»
|
Im dritten Fall erfolgt,
sofern sich der Angreifer entsprechende Berechtigungen verschaffen
kann, eine bemerkte oder sogar unbemerkte Manipulation der im
System vorgehaltenen Daten. |
Weitere Fälle sind denkbar, jedoch ist bereits anhand
der oben genannten Beispiele ersichtlich, dass durch unsichere
Web-Applikationen erheblicher Schaden für ein Unternehmen
entstehen kann.
