Sicherheit - mehr als nur Firewall und Antivirensoftware
Wurde zu Beginn des Internetzeitalters Sicherheit noch mit unnötigen Kosten während der Entwicklungsphase einer Applikation angesehen, so ist mittlerweile fast jeder für Gefahren durch Hacker, Viren und andere Schädlinge sensibilisiert. Ob Privatmann oder Unternehmen, Firewalls, Antivirensoftware, Maßnahmen gegen Spyware und Intrusion Detection haben in die IT-Landschaft Einzug gehalten.
Der Lagebericht 2005 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestätigt dies: Für 83 % der IT-Verantwortlichen in deutschen Unternehmen ist die IT-Sicherheit eines der wichtigsten Themen. Und das ist auch gut so! So wird die Anzahl der Angriffe aus dem Internet reduziert, Auswirkungen aufgefangen, die durch Aktionen sorgloser Mitarbeiter ausgelöst werden, und ein hoher Teil der Flut von unerwünschten Werbe-Mails (sog. SPAM) zurückgehalten.
Gefahren kommen meist aus dem Unternehmen selbst
Die Konsistenz und Geheimhaltung wichtiger Daten in Unternehmen wird laut einer Statistik des BSI hauptsächlich durch Irrtum und Nachlässigkeit eigener Mitarbeiter gefährdet. Ein Problem, das sich nicht nur auf das Ausführen von virenverseuchten E-Mail Anhängen beschränkt.
Beabsichtige Angriffe sind in vielen Fällen von Innentätern initiiert; dabei werden häufig sowohl Benutzerkonten mit zu vielen Rechten, als auch bekannte Schwachstellen in Anwendungen genutzt. Auch wenn Schäden beabsichtigter Angriffe seltener sind, als Schäden durch Irrtum oder Nachlässigkeit, gehören Sie zu den Schadfällen, die einen überdurchschnittlich hohen Schaden hinterlassen, denn besonders interne vertrauliche Daten – eines der schützenswertesten Güter eines Unternehmens – sind Ziel dieser Angriffe.
Ein Innentäter – ob Mitarbeiter oder externer Berater – hat es im Unternehmensnetzwerk einfach: Firewall, Intrusion Detection Systeme müssen nicht überwunden werden. Über einen langen Zeitraum können zudem Informationen über Anwendungen gesammelt werden, um deren Schwachstellen gezielt auszunutzen.
Gefahrenarten und Schwachstellen in Anwendungen
Angriffe auf Anwendungen lassen sich in drei Gefahrenarten unterteilen: Daten, die nur für einen bestimmten Personenkreis bestimmt sind, werden Dritten zugänglich gemacht und können so hohen Schaden anrichten. Weiterhin kann die Integrität von Daten dadurch gefährdet werden, dass sie durch Angreifer manipuliert oder irreparabel zerstört werden. Zuletzt greifen Angreifer Anwendungen an, um deren Verfügbarkeit zu stören oder vollständig lahm zu legen.
Die Quellen, die zu diesen Gefahren führen, sind vielfältig.
Während der Entwicklungsphase einer Applikation sind ausführliche Fehlermeldungen ein unersetzliches Mittel, um Fehler aufzuspüren und das Programmverhalten zu analysieren. Solche Fehlermeldungen schaffen es jedoch auch immer wieder in eine Release-Version einer Software. Ein gutes Beispiel ist eine Fehlermeldung, deren Ursache die Änderung des Anwendungsaccounts für eine Datenbank ist. Diese Fehlermeldungen enthalten oft Informationen, die einem potenziellen Angreifer Möglichkeiten für Schwachstellen aufzeigen oder einfach weitere Details über die Systeminfrastruktur liefern: "User 'MyWebAppUser' cannot logon to server '192.168.23.22' – Password incorrect.". Schon hat ein Angreifer wichtige Informationen gesammelt: Es gibt einen Benutzer 'MyWebAppUser' und einen Datenbankserver unter der IP '192.168.23.22'. Unschätzbare Informationen, um Angriffe zu planen und Infrastrukturen nachzuvollziehen.
Dies sollte unter allen Umständen vermieden werden. Jede detaillierte Information, die Aufschluss über interne Abläufe einer Software gibt, gilt es durch eine generelle Anwendungsfehlermeldung zu ersetzen. In einem programminternen Log können dagegen detaillierte Meldungen abgespeichert werden, um Administratoren und Entwicklern während des Betriebs einer Anwendung die Möglichkeit zu geben, Fehler zu analysieren und zu beheben. Für das .NET Framework gibt es verschiedene Möglichkeiten Fehlermeldungen zu zentralisieren, ein Logging zu implementieren und Benutzern unspezifische Fehlermeldungen zu präsentieren, ohne auf Informationen zur Fehlerbehebung zu verzichten.
Dies ist nur ein Beispiel, wie man Anwendungen während der Entwicklungsphase mit wenig Aufwand sicherer gestalten kann. Ebenso viel Aufmerksamkeit bedarf es bei Validierungen von Benutzereingaben. Hier gilt die Regel: Eine Eingabe ist so lange als potenziell gefährlich einzustufen, so lange nicht das Gegenteil bewiesen wurde. Mehrstufige Validierungen in allen Schichten einer Anwendung sind notwenig, um Angriffe im Stile von SQL-Injection oder Cross-Site-Scripting abzuwehren.
Fazit
Sicherheit muss zu einem zentralen Kernthema in Unternehmen werden. Nicht nur die Absicherung gegen Angriffe von außen muss gewährleistet sein, auch die Prüfung von Anwendungen auf Fehlverhalten und Angreifbarkeit muss dabei Teil des Prozesses sein.
swift.consult berät Sie bei der Auswahl von geeigneten Sicherheitsmassnahmen auf Anwendungsebene und darüber hinaus. Speziell für das Thema Anwendungssicherheit zertifizierte Fachkräfte ermitteln Ihren Bedarf, zeigen Schwachstellen auf und trimmen die Softwareentwicklung auf Sicherheitsmaximierung.
Kontaktieren Sie uns noch heute und nehmen Sie ein erstes unverbindliches Beratungsgespräch in Anspruch.
Weiterführende Informationen
Wissen
mehr erfahren