Hacker schlafen nicht: 6 Empfehlungen für mehr Sicherheit von Webanwendungen
Wenn es darum geht, wertvolle Kundendaten von Unternehmen abzugreifen und in Backend-Systeme vorzudringen, sind Webanwendungen nach wie vor das beliebteste Einfallstor. Dabei nutzen die Angreifer Schwachstellen in der Anwendung selbst oder der Plattform, auf der sie laufen, aus, um Zugang zu den Daten zu erhalten. Im vergangenen Jahr machten Angriffe auf Web Applications weltweit 32 Prozent aller feindlichen Aktivitäten aus, wie der Global Threat Intelligence Report 2019 zeigt. Fünf Industriezweige sind besonders betroffen: Finanzen, „Business und Professional Services“, Gesundheitswesen, Retail sowie Fertigung. Mit 85 Prozent belegt dabei die Retail-Branche in der EMEA-Region einen Spitzenplatz. Eine stärkere Internetpräsenz durch Webshops oder Kundenportale in Kombination mit sensiblen Kundendaten bedeutet in diesem Fall eine größere Angriffsfläche und viel „Futter“ für die Cyberkriminellen.
Gehackt werden Webanwendungen in den meisten Fällen durch das Einschleusen von SQL-Befehlen. Daneben sind eine falsche oder fehlerhafte Verschlüsselung, fehlende Authentifizierungsverfahren und Cross-Site-Scripting (XSS) ein Problem: Bei XSS nutzen Angreifer Schwachstellen aus, um ein Skript einzuschmuggeln, das dann im Browser des Nutzers ausgeführt wird. Da Hacker den Weg des geringsten Widerstandes gehen, suchen sie nach nicht gepatchten Schwachstellen oder fehlerhaft konfigurierten Systemen. Oftmals sind es gar nicht die neuen Zero-Day-Exploits, die den Unternehmen zum Verhängnis werden, sondern Schwachstellen, für die es längst einen Patch gibt. Auch der Trend zu Microservices, die häufig in Node.js und Spring Boot erstellt sind, verschärft das Problem.
Mit folgenden Empfehlungen verteidigen Unternehmen ihre Webanwendungen und ihr Netzwerk gegen potenzielle Angreifer:
- Patchen, Patchen, Patchen: Ein gutes Patch-Management für Betriebssysteme und Anwendungen hat oberste Priorität. Auf keinen Fall sollte man weniger kritische Systeme im Netzwerk vergessen, sie können bei fehlenden Patches zum Einfallstor für Hacker werden.
- Strenges Access Management: Zugriffsberechtigungen sollten genau geprüft und soweit wie möglich eingeschränkt werden. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden.
- Segmentierung der Netzwerkumgebung: Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden kann.
- Security by Design: Das Thema Sicherheit sollte bei der internen Softwareentwicklung und der System- und Netzwerkkonfiguration von Anfang an mitgedacht werden. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden.
- Implementierung einer Web Application Firewall (WAF): Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr.
- Regelmäßige Schwachstellen-Überprüfung: Unternehmen sollten in regelmäßigen Abständen ihre Unternehmens-IT auf Schwachstellen hin untersuchen, die Scan-Ergebnisse entsprechend priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vornehmen.
„Das Thema Sicherheit von Webapplikationen wird in vielen Unternehmen noch sehr stiefmütterlich behandelt. Die meisten machen einen Penetrationstest, wenn die Webseite live geht, und dann passiert nichts mehr. Das NTT-Tochterunternehmen Whitehead Security gibt einen jährlichen Report über die Anzahl der offenen und nicht gefixten Schwachstellen in Webapplikationen, die sie über ihre Penetrationstests finden, heraus. Das Ergebnis ist erschreckend: Der durchschnittliche Wert lag in den letzten Jahren immer etwa bei 380 bis 390 Tagen von offenen, nicht gefixten Vulnerabilities in Webapplikationen. Es variiert etwas von Branche zu Branche“, erklärt René Bader, Manager for Critical Applications and Big Data bei der Security Division von NTT Ltd. „Unternehmen können bei dem Thema nicht einfach wegschauen. Auch angesichts der Tatsache, dass immer mehr Organisationen und Entwickler einen DevOps-Ansatz verfolgen, was zwar eine schnellere Entwicklung und Bereitstellung von Applikationen verspricht, gleichzeitig aber das Sicherheitsbedürfnis etwa durch eine fehlende Testautomatisierung erhöht.“
Über die Security Division und NTT Ltd.
Security ist eine Division von NTT Ltd., einem globalen Technologie-Dienstleister, der die Expertise marktführender Unternehmen vereint, einschließlich NTT Communications, Dimension Data und NTT Security. Die Security Division hilft Unternehmen beim Aufbau eines digitalen Geschäfts, das dem Grundsatz Security-by-Design entspricht. Auf Basis einer globalen Threat Intelligence bietet die Security Division hinsichtlich Cyber-Bedrohungen Prävention, Erkennung, Abwehr und Reaktion. Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 2.000 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten. Die Division sichert zudem eine effiziente Ressourcennutzung, indem der richtige Mix an Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird.
NTT Ltd. arbeitet mit Unternehmen auf der ganzen Welt zusammen, um durch intelligente Technologielösungen Ergebnisse zu erzielen. Intelligent bedeutet für uns datengesteuert, vernetzt, digital und sicher. Als globaler IKT-Provider beschäftigen wir mehr als 40.000 Mitarbeiter an vielfältigen und modernsten Arbeitsplätzen und erbringen Dienstleistungen in mehr als 200 Ländern. Gemeinsam ermöglichen wir die vernetzte Zukunft.
Weitere Informationen unter hello.global.ntt
Bei Rückfragen wenden Sie sich bitte an:
NTT Ltd.
Romy Däweritz
Marketing Manager DACH I Security
Tel.: +49 89 945730
romy.daeweritz@global.ntt
PR-COM GmbH
Franziska Fricke
Account Manager
Tel.: +49 89 59997 707
franziska.fricke@pr-com.de
