Inhalt
Wie sichere ich meine Webanwendungen und Webservices ab?
Jede Webanwendung, die im frei zugänglichen Internet verfügbar ist, ist angreifbar. Selbes gilt auch für die zugrundeliegenden Webservices. Es gibt vielerlei mögliche Angriffsszenarien: von DDoS-Attacken, die “nur” dazu führen, dass die Webanwendung nicht mehr ordnungsgemäß arbeiten kann, bis hin zur Erbeutung von Unternehmens- und Kundendaten im großen Stil. Warum Webanwendungen und die im Hintergrund laufenden Dienste solch ein beliebtes Angriffsziel sind und wie man sich vor Attacken schützen kann, lesen Sie in diesem Beitrag.
Was sind Webanwendungen und -services?
Die Begriffe Webanwendung und Webservice werden gelegentlich irrtümlich synonym zueinander verwendet. Dabei handelt es sich um grundsätzlich verschiedene Funktionalitäten. Ein Webservice dient ausschließlich der reinen Kommunikation zwischen Computern und ist nicht für die direkte Nutzung durch Anwender vorgesehen. Deshalb verfügt ein Service für eine Webanwendung auch nicht über eine eigene Benutzeroberfläche, auf welcher der Nutzer seine Eingaben tätigt und die gewünschten Ergebnisse angezeigt bekommt. Dagegen ist eine Webanwendung für die Nutzung eines Users entwickelt. Der Anwender kommuniziert via Netzwerk (Internet, Intranet) über das User-Interface mit der Anwendung. Diese Applikation kann im Hintergrund wiederum einen Webservice nutzen, um die erwarteten Ergebnisse zu liefern. Eine Webanwendung kann selbst ein Kommunikationspartner eines Services sein.
Ein einfach zu erfassendes Beispiel eines solchen Konstruktes ist ein E-Mail-Service, der im Browser genutzt wird. Der User arbeitet hier mit einer Webanwendung, die auf einem Webserver läuft, der für die Darstellung der Webseiten zuständig ist. Diese Anwendung greift wiederum auf Services wie IMAP, POP3 und SMTP zurück, die für den Empfang, Versand, die Zustellung und Weiterleitung der E-Mails verantwortlich sind.
So sehen Angriffsmethoden auf Webanwendungen aus
Wir bleiben bei dem Beispiel eines E-Mail-Services, das durchaus nicht nur fiktiv ist, sondern einen aktuellen Bezug hat. So wurde vor Kurzem bekannt, dass die Server des italienischen E-Mail-Dienstleisters email.it gehackt wurden, wovon sämtliche User-Zugangsdaten und Inhalte von rund 600.000 Usern betroffen waren. Der Hackergruppe fielen dadurch mehr als fünf TeraByte an Daten in die Hände. Diese enthielten neben den E-Mail-Nachrichten und Attachments auch im Klartext gespeicherte Zugangspasswörter. Diese Datenbestände werden derzeit im Darknet zum Kauf angeboten. Laut Aussage der Hackergruppe war es bereits vor über zwei Jahren gelungen, in den E-Mail-Service einzudringen. Dabei machte man sich offensichtliche Sicherheiltslücken zunutze; zudem war es für die Hacker sehr leicht, User-Passwörter abzugreifen, da diese unverschlüsselt vorlagen.
Möglichkeiten, sicherheitsrelevante Schwachstellen in einer Webanwendung ausfindig zu machen und diese als Angreifer für sich nutzbar zu machen, gibt es viele. Hier nur eine Auswahl oft angewandter Angriffe auf Webanwendungen und -services.
- Cross Site Scripting (XSS)
Hierunter versteht man das Einschleusen veränderter Informationen in eine Scriptsprache, die auf dem Webserver ausgeführt wird (Perl, PHP usw.). Eine im Script enthaltene include-Anweisung sorgt dafür, dass eine nicht gewünschte Scriptdatei von einem Server des Angreifers nachgeladen und ausgeführt wird, wodurch entweder “nur” ein Schaden angerichtet werden soll oder aber Daten der Webanwendung in Richtung des Angreifers umgeleitet werden. - E-Mail-Injection
Bei einem Vorgang dieser Art setzt der Hacker in einem ungesicherten Kontaktformular manipulierte Daten ein. Dadurch können beliebige Nachrichten an beliebige E-Mail-Empfänger versandt werden. Diese Schwachstelle wird häufig zum massenhaften Versand von Spam-Mails genutzt. - SQL-Injection
Die Datenbestände eines Webdienstes liegen meist in Form von Datenbanken vor, deren Zugriffe per SQL gemanagt werden. Bei einer SQL-Injection werden Anfragen an den Webserver gestellt, deren Anfrage-Parameter mit speziellen SQL-Steuerzeichen versehen sind. Werden diese Steuerzeichen durch mangelhafte oder fehlende Sicherheitsmechanismen nicht durch den Webserver abgefangen, gelangen sie als Teil eines SQL-Requests an den Datenbankserver, wodurch der Angreifer die Datenbankinhalte auslesen, verändern oder löschen kann. - Man-in-the-Middle-Angriff
Ziel dieses Szenarios ist es, dass ein User eine Verbindung mit dem Rechner eines Angreifers aufbaut statt mit dem gewünschten Webserver – natürlich ohne dass der User dies bemerkt. Der Hacker-Rechner baut nun seinerseits eine Verbindung zu dem gewünschten Webserver auf und wirkt quasi als Vermittler aller Anfragen und Serverantworten. Dadurch kann dieser Man-in-the-Middle-Rechner den gesamten Datenverkehr mitschneiden und abspeichern. Mehr noch: Der Hacker kann die Anfragen an den Webserver und dessen Antworten beliebig manipulieren. Hiergegen hilft nur eine ausreichende Verschlüsselung des Traffics, z. B. durch SSL/HTTPS. Allerdings wird dieser Schutz unwirksam, wenn sich der Hacker ein SSL-Zertifikat des betroffenen Webservers besorgen kann, das zu dem Root-Zertifikat im Browser des Opfers passt. - Denial of Service. DDoS-Attacken haben wir eingangs bereits erwähnt. Hier geht es darum, mit einem Denial of Service (DoS) einen Webserver durch extrem viele Verbindungsanfragen in die Knie zu zwingen. Wird dieser Angriff von vielen Computern gleichzeitig – z. B. durch ein sogenanntes Bot-Netz – ausgeführt, ist die Rede von einer so genannten Distributed-Denial-of-Service-Attacke, kurz DDoS. Ein DoS funktioniert aber nicht nur bei einer Webanwendung, sondern kann gegen jede Art von Servern (Datenbanken, E-Mail usw.) gerichtet werden. Im Grunde benötigt man dazu nur die IP-Adresse des Ziel-Servers.
Wie kann IT-Sicherheit schützen?
Neben den aufgeführten Angriffsmethoden sind noch viele weitere bekannt. Entsprechendes Know-how vorausgesetzt, kann man sich jedoch gegen viele Attacken bereits mit Bordmitteln schützen. So können bei der Eigenentwicklung einer Webanwendung manche Schwachstellen wie z. B. SQL-Injection von vornherein durch professionelles Anwendungs-Development vermieden werden. Beim Einsatz von Tools, Applikationen und Anwendungen von Drittanbietern sollte man auf einen Nachweis über ein entsprechendes Qualitätsmanagement bestehen.
Oberstes Gebot ist in jedem Fall ein durchdachtes Patch-Management. Aktuelle Updates von Software, Betriebssystemen, Anwendungen und deren Komponenten beheben Fehler und schließen Einfallstore für Angreifer. Auch weniger kritische Teilsysteme im unternehmenseigenen Netzwerk sollten regelmäßig mit Sicherheitspatches bedacht werden, denn auch sie können Angriffspotenziale bieten.
Für eine Webanwendung sollte dringend über den Einsatz einer Web Application Firewall nachgedacht werden. Diese schützt die Anwendung vor Angriffen, indem sie den Traffic zwischen Webserver und Clients überwacht. Moderne Systeme dieser Art verfügen über eine Künstliche Intelligenz (KI). Diese lernt aus ungewöhnlichem Verhalten des Gesamtsystems ständig hinzu und bleibt somit nicht auf einem bekannten Wissensstand von Bedrohungen stehen.
Security-Tools für Web-Applikationen bestehen im Wesentlichen aus Web-Shields und Web-Scannern. Web-Shields bilden vom Wortsinne her einen Schutzschild um die Webanwendung, indem sie das Verhalten einer Firewall annehmen. Sie analysieren den Datenverkehr, und sobald im Traffic auffällige Muster oder “verbotene” Datenpakete auftreten, wird der Datenaustausch zwischen Client und Webserver unterbrochen. Ein Web-Shield funktioniert in beide Richtungen, d. h. auch wenn beispielsweise der Webserver durch einen Angriff Schadcode “nach draußen” sendet, kann dieses unterbunden werden.
Im Gegensatz dazu arbeiten Web-Scanner nach dem Prinzip eines Penetrationstestes. Hierbei wird die Webanwendung vom Web-Scanner auf Schwachstellen hin untersucht, um Sicherheitslücken ausfindig zu machen, damit diese umgehend behoben werden können. Dieses Verfahren machen sich allerdings auch Hacker zunutze: Sie untersuchen Webanwendungen sowie Web- und Datenbankserver mittels Web-Scannern auf Einfallstore (bekanntes Beispiel hierfür sind Portscanner) und nutzen die dadurch entdeckten Schwachstellen und Sicherheitslücken des Systems für ihre Zwecke. Hier heißt es einfach nur, schneller als die Hacker zu sein und Fehler schnellstmöglich ausfindig zu machen und zu beheben. Webscanner sind per sé hilfreiche Tools, sofern sie von geschultem Personal der IT-Security eingesetzt werden. Sie setzen aber Fachwissen voraus, da nur Spezialisten die Ergebnisse analysieren und Rückschlüsse ziehen können.
Fazit
IT-Sicherheit ist ein komplexes Wissensgebiet, das heutzutage nicht mehr vernachlässigt werden darf. So kann es schnell neben Datenverlust zu massiven Verstößen gegen die Bestimmungen der EU-Datenschutzgrundverordnung kommen, wenn beispielsweise durch eine fehlende IT-Security oder durch mangelndes Wissen des Fachpersonals Kundendaten in falsche Hände gelangen oder gar verloren gehen. Dies kann bei Webanwendungen insbesondere des E-Commerce ohne passende Schutzmaßnahmen sehr leicht passieren. Vertrauen Sie sich im Zweifel lieber den Experten der BRISTOL GROUP an. Hier finden Sie geballtes Know-how und jahrzehntelange Erfahrung rund um IT-Sicherheit in Verbindung mit Webanwendungen und Webservices. Wir freuen uns auf Ihre Anfrage!