Web-Applikationen sind im Zuge der Digitalisierung zu einem geschäftskritischen Teil der IT und somit zu einem attraktiven Angriffsziel für Hacker geworden.
Die Bedeutung des Schutzes von Applikationen wird oftmals unterschätzt. Unternehmen wollen rasch ihre Ideen umsetzen, dabei werden nicht selten Security-Grundsätze verletzt oder ignoriert. Sie bringen minimal funktionsfähige Iterationen eines Produkts auf den Markt, um sie möglichst schnell mit Kunden zu testen. Das Produkt steht im Internet und ist mit anderen Datentöpfen verbunden. Schon hat man das Tor geöffnet.

Um dem zu entgegnen, bietet sich eine Komplettlösung an. Dabei geht es darum, verschiedene Komponenten zu kombinieren, die in unterschiedlichen Disziplinen für Sicherheit sorgen. Die Nachfrage nach solchen Komplettlösungen aus einer Hand steigt, da Einzelkomponenten häufig von diversen Herstellern stammen und nicht gut zusammenspielen.

Eine Web Application Firewall muss viele Aufgaben bewältigen

Eine moderne Web Applikation Firewall (WAF) ist ein Multitalent. So sollte sie neben ihren eigentlichen Aufgaben auch APIs schützen können. API steht für Application Programming Interfaces, also Schnittstellen zu anderen Programmen. Eine herkömmliche WAF ist auf HTML-Formulare ausgelegt und kann mit JSON-Strukturen nicht umgehen, die bei APIs üblich sind. API-Sicherheit und Web-Applikation-Security verschmelzen zunehmend, zumal Security-Themen wie Cross-Site-Scripting oder Injection-Angriffe inzwischen auf allen Kanälen relevant sind. Javascript-Applikation, die im Browser laufen und auf APIs im Backend zugreifen, erfahren eine zunehmende Verbreitung.

Die WAF analysiert jeden Request zwischen Anwendern und Web-Applikationen und -Services. So lassen sich Angriffsversuche blockieren, bevor sie in das interne Netzwerk gelangen. Ein Zusammenspiel mit einem Identity and Access Management und einem API-Gateway garantiert, dass nur gefilterte, authentisierte und autorisierte Zugriffe passieren.

Manche WAFs bieten zudem eine Integration von Threat Intelligence, also eine Prüfung gegen Listen von Threats. Praktisch für jede Adresse aus dem IPv4-Bereich lässt sich damit ein Scoring erstellen, ob bösartige Aktivitäten davon ausgehen, etwa Spam, Angriffe gegen Webserver, Phishing, oder Tor-Nodes. Diese Informationen können im Access Management herangezogen werden, um entsprechende Policies zu entwickeln. Beispiel: Wenn ein Zugriff über Tor erfolgt, dann ist zwingend eine Zwei-Faktor-Authentifizierung erforderlich.

Eine weitere Technik nennt sich Virtual Patching: Ein Reverse Proxy schützt dabei interne Dienste vor Zugriffen von außen. Der Zugriff landet auf dem Proxy, wo sich zeitnah und automatisiert Patches gegen Sicherheitslücken einspielen lassen. Das verschafft den Unternehmen mehr Zeit, um die physikalische Hardware abzusichern. Auch verteilte Schlüssel sorgen für ein Plus an Sicherheit. Normalerweise werden Passwörter als Hashwerte abgespeichert. Wenn ein Angreifer an eine solche Passwort-Datenbank gelangt, ist es eine Frage der Zeit, bis die Hash-Verschlüsselung geknackt ist. IBM Research hat ein kryptografisches Protokoll entwickelt, wie sich ein Passwort in verteilte Hashes aufteilen und auf mehreren Servern speichern lässt. Um den Hash eines Passworts zu entschlüsseln, sind dann sämtliche Einzelteile notwendig. Das erschwert die Aufgabe für den Angreifer um ein Vielfaches.

API-Gateway für sichere Schnittstellen

Application Programming Interfaces (APIs) sind die tragenden Säulen moderner Anwendungen und Services. Dies Schnittstellen exponieren Daten über Unternehmensgrenzen hinaus in das Internet, wo die Kunden darauf zugreifen. Daher ist ein Schutz notwendig, nicht nur gegen herkömmliche Angriffe über das Web, sondern auch vor API-spezifischen Angriffen. Mit einem API-Gateway lassen sich JSON-Schemas und Open-API-Spezifikationen durchsetzen. Alle API Calls, die dem nicht entsprechen, werden abgewiesen. Dashboards und Reporting sorgen dabei für einen Überblick über sämtliche API-Zugriffe, zeigen Angriffsversuche und Spezifikationsverletzungen, erkennen Performance-Probleme und machen Fehler im Backend sichtbar. Access Logs zu API Calls können an Untersysteme weitergeleitet werden und so beispielsweise als Basis für die Monetarisierung von Zugriffen dienen.

Identity and Access Management

Das Identity and Access Management (IAM) hat die Aufgabe, Benutzer zu authentifizieren und die Informationen an die passende Anwendung zu übermitteln. Um nicht von einer Methode abhängig zu sein, empfiehlt sich dabei eine starke Zwei-Faktor-Authentifizierung. Diese lässt sich sogar bei Applikationen durchsetzen, die das eigentlich gar nicht unterstützen. Ein Beispiel ist Microsoft Sharepoint, das mit Benutzernamen und Passwort arbeitet. Das IAM ermöglicht dennoch eine Zwei-Faktor-Authentifizierung, in dem es einen zweiten Faktor abfragt und die festgestellte Identität an die Applikation übermittelt. Anwender profitieren zudem von einem Single Sign-On: Je nachdem, wo ein Zugriff hingeleitet wird, kann die Identität des authentifizierten Benutzers anders repräsentiert werden. Das IAM dient dabei als eine Art Identitätsweiche. Zudem lässt sich die Situation des Zugriffs – am Arbeitsplatz, von zuhause oder unterwegs – und die Historie eines Benutzers berücksichtigen. Wenn Benutzer ihre Identitäten für den Zugriff von außen mitbringen, spricht man von BYOI (Bring Your Own Identity). Sie verwenden bestehende Accounts aus sozialen Netzwerken wie Facebook, Google oder Twitter für den Zugriff auf Services. Mit einem zweiten Faktor lässt sich ein solcher Social Login zu einem stark authentisierten Login erweitern.