6 conseils pour améliorer la sécurité des applications web

Wenn es darum geht, wertvolle Kundendaten von Unternehmen abzugreifen und in Backend-Systeme vorzudringen, sind Webanwendungen nach wie vor das beliebteste Einfallstor. Dabei nutzen die Angreifer Schwachstellen in der Anwendung selbst oder der Plattform, auf der sie laufen, aus, um Zugang zu den Daten zu erhalten. Im vergangenen Jahr machten Angriffe auf Web Applications weltweit 32 Prozent aller feindlichen Aktivitäten aus, wie der Global Threat Intelligence Report 2019 zeigt. Fünf Industriezweige sind besonders betroffen: Finanzen, «Business und Professional Services», Gesundheitswesen, Retail sowie Fertigung. Mit 85 Prozent belegt dabei die Retail-Branche in der EMEA-Region einen Spitzenplatz. Eine stärkere Internetpräsenz durch Webshops oder Kundenportale in Kombination mit sensiblen Kundendaten bedeutet in diesem Fall eine grössere Angriffsfläche und viel «Futter» für die Cyberkriminellen.

Gehackt werden Webanwendungen in den meisten Fällen durch das Einschleusen von SQL-Befehlen. Daneben sind eine falsche oder fehlerhafte Verschlüsselung, fehlende Authentifizierungsverfahren und Cross-Site-Scripting (XSS) ein Problem: Bei XSS nutzen Angreifer Schwachstellen aus, um ein Skript einzuschmuggeln, das dann im Browser des Nutzers ausgeführt wird. Da Hacker den Weg des geringsten Widerstandes gehen, suchen sie nach nicht gepatchten Schwachstellen oder fehlerhaft konfigurierten Systemen. Oftmals sind es gar nicht die neuen Zero-Day-Exploits, die den Unternehmen zum Verhängnis werden, sondern Schwachstellen, für die es längst einen Patch gibt. Auch der Trend zu Microservices, die häufig in Node.js und Spring Boot erstellt sind, verschärft das Problem.

Mit folgenden Empfehlungen der Security Division von NTT verteidigen Unternehmen ihre Webanwendungen und ihr Netzwerk gegen potenzielle Angreifer:

• Patchen, Patchen, Patchen: Ein gutes Patch-Management für Betriebssysteme und Anwendungen hat oberste Priorität. Auf keinen Fall sollte man weniger kritische Systeme im Netzwerk vergessen, sie können bei fehlenden Patches zum Einfallstor für Hacker werden.
• Strenges Access Management: Zugriffsberechtigungen sollten genau geprüft und soweit wie möglich eingeschränkt werden. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden.
• Segmentierung der Netzwerkumgebung: Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden kann.
• Security by Design: Das Thema Sicherheit sollte bei der internen Softwareentwicklung und der System- und Netzwerkkonfiguration von Anfang an mitgedacht werden. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden.
• Implementierung einer Web Application Firewall (WAF): Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr.
• Regelmässige Schwachstellen-Überprüfung: Unternehmen sollten in regelmässigen Abständen ihre Unternehmens-IT auf Schwachstellen hin untersuchen, die Scan-Ergebnisse entsprechend priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vornehmen.

«Das Thema Sicherheit von Webapplikationen wird in vielen Unternehmen noch sehr stiefmütterlich behandelt. Die meisten machen einen Penetrationstest, wenn die Webseite live geht, und dann passiert nichts mehr. Das NTT-Tochterunternehmen Whitehead Security gibt einen jährlichen Report über die Anzahl der offenen und nicht gefixten Schwachstellen in Webapplikationen, die sie über ihre Penetrationstests finden, heraus. Das Ergebnis ist erschreckend: Der durchschnittliche Wert lag in den letzten Jahren immer etwa bei 380 bis 390 Tagen von offenen, nicht gefixten Vulnerabilities in Webapplikationen. Es variiert etwas von Branche zu Branche», erklärt René Bader, von der Security Division von NTT Ltd. «Unternehmen können bei dem Thema nicht einfach wegschauen. Auch angesichts der Tatsache, dass immer mehr Organisationen und Entwickler einen DevOps-Ansatz verfolgen, was zwar eine schnellere Entwicklung und Bereitstellung von Applikationen verspricht, gleichzeitig aber das Sicherheitsbedürfnis etwa durch eine fehlende Testautomatisierung erhöht.»

Communiqué de presse NTT, Security Division