Einfallstor Webanwendungen – Risiken verstehen und beheben

Informationssicherheit

von Matthias Niedung

Die Digitalisierung schreitet im Jahr 2020 so schnell wie lange nicht voran. Ein wesentliches Ziel dieses Prozesses ist es, die Daten und das Unternehmens-Know-How auch an Orten fern ab der eigenen Unternehmensstätten verfügbar zu machen.

Was einerseits Freiheit für die eigenen Unternehmensstrukturen bedeutet, birgt andererseits Gefahren, die oftmals nicht genügend gewürdigt werden. Daten, welche von allen Orten der Welt aus verarbeitet werden können, stehen selbstverständlich auch potentiellen Angreifern jederzeit zur Verfügung. Deshalb gilt es von Beginn an bei der Umsetzung und Implementierung der digitalen Freiheit die Risiken zu betrachten, welche damit einhergehen.

Webcast zum Thema "Sicherheit von Webapplikationen" mit Arne Wolff und Matthias Niedung

Während technische und organisatorische Maßnahmen Software-Prozesse gegen menschliche Schwächen absichern können, ist es notwendig, auch Applikationen, die auf Ihre digitalen Werte zugreifen, zu überprüfen. Dabei werden immer wieder Webapplikationen als Schnittstelle genutzt, um den Zugriff auf die Daten zu ermöglichen und zu managen. Während mittlerweile bekannt ist, dass man solche Anwendungen tunlichst nicht ohne entsprechende Authentifizierungsmaßnahmen in das World-Wide-Web stellen sollte, ist das Wissen um andere Gefahren noch immer kaum verbreitet.

Von unerlaubten Datenbankabfragen bis zum widerrechtlichen Dateien-Download
Die Angriffsvektoren sind vielseitig und verschieben sich mit der Zeit. Waren SQL-Injections noch vor Jahren die Schwachstelle Nummer 1, so sind es heute falsch eingesetzte API-Schnittstellen oder so genannte Cross-Site-Scripting-Lücken. Die Auswirkungen sind so unterschiedlich, wie die technischen Lösungen zu ihrer Behebung.

Doch in jedem Falle gilt: Die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität sind nachhaltig gestört und das Bekanntwerden einer Schwachstelle im vollzogenen Live-Betrieb zieht weiteren Aufwand nach sich. So müssen Sie überprüfen, ob diese Schwachstelle in der Vergangenheit bereits aktiv ausgenutzt wurde und somit ein konkreter Schaden für Ihr Unternehmen und Ihre schützenswerten Daten entstanden ist.

Eine Übersicht der verschiedenen Risiken für Webapplikationen stellt unter anderem das Open Web Application Security Project (OWASP) bereit. Bei den OWASP Top Ten (https://owasp.org/www-project-top-ten/) werden die häufigsten Probleme dargestellt, erklärt und Möglichkeiten zur Abwehr bereitgestellt.

Die Beispiel GmbH und ein erfolgreicher Angriff
Um die Szenarien plastisch darzustellen, wollen wir Ihnen anhand der fiktiven „Beispiel GmbH“ einen mög­lichen Angriff darstellen und die Risiken skizzieren.

Die Beispiel GmbH hat im Zuge der Corona-Krise ihre Patienten-Datenbank auf einen öffentlichen Server transferiert. So können Ärzte und Angestellte auch von außen auf die aktuellen Werte und Befunde der Patienten zugreifen und somit den laufenden Betrieb aufrechterhalten.

Da sie bereits einen Server besaß, auf dem auch die Internetseite des Unternehmens lief, entschied man sich, die Daten in die schon vorhandene Datenbank einzuspielen, um weitere Kosten zu sparen. Während die Applikation zur Patientenbetreuung „sicher“ programmiert wurde, klafft auf der Unternehmens-Internetseite eine Lücke, welche es ermöglicht, die Datenbank auszulesen. Eine sogenannte SQL-Injection kann über das Nachrichten-Modul durchgeführt werden und erlaubt es dem Angreifer, auch die Patientendaten in wenigen Minuten auszulesen - der Datenverlust ist geschehen.

Die Folgen für die Beispiel GmbH
Da die Beispiel GmbH nun einen Datenschutzvorfall zu beklagen hat, muss diese aufklären, wie lange die Lücke bestand hatte, wie oft diese ausgenutzt wurde und was für Maßnahmen ergriffen wurden, um solch ein Datenleck zu verhindern. Neben den entsprechenden Informationspflichten gegenüber den Betroffenen droht ein Image-Verlust, mögliche Bußgelder, evtl. Schadenersatzzahlungen und ein erheblicher Mehraufwand bei der nachträglichen Überprüfung der gesamten IT-Struktur.

Dabei hätte die Beispiel GmbH schon frühzeitig erkennen können, dass sowohl die gewählte IT-Struktur, als auch die Risiken, welche auf die Webapplikationen wirken, nicht ausreichend gewürdigt wurden.

Von der Dokumentation über das Threat-Modeling hin zum Penetration-Test
Um Erlebnisse wie einen Datenverlust zu vermeiden, wird empfohlen, folgende Grundlagen einzuhalten:

Dokumentation
Grundlage für eine größtmögliche Sicherheit ist die Kenntnis über Ihre IT-Infrastruktur, die Funktionsweise Ihrer Anwendungen und die getroffenen Maßnahmen, welche Risiken behandeln. Nur ein System, was Sie in voller Gänze verstehen und dokumentiert haben, können Sie auch schützen.

Threat Modeling
Auf Grundlage der vollständigen Dokumentation kann mit Hilfe eines sogenannten Threat Models (einer Bedrohungsanalyse) überprüft werden, welche Risiken auf einzelne Dienste, IT-Strukturen und Funktionen einwirken. Hiermit ist es also möglich, strukturiert die Gefahren zu identifizieren.

Penetrations-Tests und Sicherheitsanalysen
Ein effizienter Weg existierende Gefahren zu erkennen ist der sogenannte Penetrations-Test. Hierbei prüfen IT-Sicherheits-Experten systematisch Ihre Anwendungen auf Schwachstellen und stellen Ihnen diese in Berichtform zur Verfügung. Dieses praktische Audit gibt Ihnen die Gewissheit, wo Sie stehen und die Möglichkeit der Weiterentwicklung.

Die Experten von Althammer & Kill unterstützen Sie dabei gerne!

Zurück