Anzeige

Anzeige

VERANSTALTUNGEN

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

Software Quality Days 2020
14.01.20 - 17.01.20
In Wien, Hotel Savoyen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

Anzeige

Anzeige

Schwachstellen-Überprüfung

Bild: NTT Ltd.

Hacker schlafen nicht. Webanwendungen von Unternehmen sind häufig schlecht gegen Cyberkriminelle geschützt. Dabei haben Hackerangriffe auf sensible Daten weitreichende Folgen. Die Security Division von NTT hat sechs Ratschläge parat, wie Unternehmen ihre Web Applications besser gegen Eindringlinge absichern.

Wenn es darum geht, wertvolle Kundendaten von Unternehmen abzugreifen und in Backend-Systeme vorzudringen, sind Webanwendungen nach wie vor das beliebteste Einfallstor. Dabei nutzen die Angreifer Schwachstellen in der Anwendung selbst oder der Plattform, auf der sie laufen, aus, um Zugang zu den Daten zu erhalten. Im vergangenen Jahr machten Angriffe auf Web Applications weltweit 32 Prozent aller feindlichen Aktivitäten aus, wie der Global Threat Intelligence Report 2019 zeigt.

Fünf Industriezweige sind besonders betroffen: Finanzen, „Business und Professional Services“, Gesundheitswesen, Retail sowie Fertigung. Mit 85 Prozent belegt dabei die Retail-Branche in der EMEA-Region einen Spitzenplatz. Eine stärkere Internetpräsenz durch Webshops oder Kundenportale in Kombination mit sensiblen Kundendaten bedeutet in diesem Fall eine größere Angriffsfläche und viel „Futter“ für die Cyberkriminellen.

Gehackt werden Webanwendungen in den meisten Fällen durch das Einschleusen von SQL-Befehlen. Daneben sind eine falsche oder fehlerhafte Verschlüsselung, fehlende Authentifizierungsverfahren und Cross-Site-Scripting (XSS) ein Problem: Bei XSS nutzen Angreifer Schwachstellen aus, um ein Skript einzuschmuggeln, das dann im Browser des Nutzers ausgeführt wird. Da Hacker den Weg des geringsten Widerstandes gehen, suchen sie nach nicht gepatchten Schwachstellen oder fehlerhaft konfigurierten Systemen. Oftmals sind es gar nicht die neuen Zero-Day-Exploits, die den Unternehmen zum Verhängnis werden, sondern Schwachstellen, für die es längst einen Patch gibt. Auch der Trend zu Microservices, die häufig in Node.js und Spring Boot erstellt sind, verschärft das Problem.

Mit folgenden Empfehlungen verteidigen Unternehmen ihre Webanwendungen und ihr Netzwerk gegen potenzielle Angreifer:

Patchen, Patchen, Patchen

Ein gutes Patch-Management für Betriebssysteme und Anwendungen hat oberste Priorität. Auf keinen Fall sollte man weniger kritische Systeme im Netzwerk vergessen, sie können bei fehlenden Patches zum Einfallstor für Hacker werden.

Strenges Access Management

Zugriffsberechtigungen sollten genau geprüft und soweit wie möglich eingeschränkt werden. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden.

Segmentierung der Netzwerkumgebung

Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden kann.

Security by Design

Das Thema Sicherheit sollte bei der internen Softwareentwicklung und der System- und Netzwerkkonfiguration von Anfang an mitgedacht werden. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden.

Implementierung einer Web Application Firewall (WAF)

Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr.

Regelmäßige Schwachstellen-Überprüfung

Unternehmen sollten in regelmäßigen Abständen ihre Unternehmens-IT auf Schwachstellen hin untersuchen, die Scan-Ergebnisse entsprechend priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vornehmen.

„Das Thema Sicherheit von Webapplikationen wird in vielen Unternehmen noch sehr stiefmütterlich behandelt. Die meisten machen einen Penetrationstest, wenn die Webseite live geht, und dann passiert nichts mehr. Das NTT-Tochterunternehmen Whitehead Security gibt einen jährlichen Report über die Anzahl der offenen und nicht gefixten Schwachstellen in Webapplikationen, die sie über ihre Penetrationstests finden, heraus. Das Ergebnis ist erschreckend: Der durchschnittliche Wert lag in den letzten Jahren immer etwa bei 380 bis 390 Tagen von offenen, nicht gefixten Vulnerabilities in Webapplikationen. Es variiert etwas von Branche zu Branche“, erklärt René Bader, Manager for Critical Applications and Big Data bei der Security Division von NTT Ltd. „Unternehmen können bei dem Thema nicht einfach wegschauen. Auch angesichts der Tatsache, dass immer mehr Organisationen und Entwickler einen DevOps-Ansatz verfolgen, was zwar eine schnellere Entwicklung und Bereitstellung von Applikationen verspricht, gleichzeitig aber das Sicherheitsbedürfnis etwa durch eine fehlende Testautomatisierung erhöht.“  

René Bader, Manager Critical Applications and Big Data
René Bader
Manager Critical Applications and Big Data, NTT Ltd., Security Division
GRID LIST
Pfeil nach rechts

Malwarebytes-Sicherheitsprognosen für das Jahr 2020

Die Sicherheitsforscher von Malwarebytes prognostizieren zunehmende Gefahren für…
Schloss Hologramm

Kontinuierliche Anwendungssicherheit für DevOps

Unternehmen, die einen schnelleren Innovationszyklus anstreben, müssen über den…
KI Cyber Security

Vermindern KI-basierte Sicherheitstools die Gefahr wirklich?

Klassische Sicherheitstools können nur einen Teil der Cyber-Angriffe verhindern, Anbieter…
USB-Stick mit Totenkopf

Einfallstore für Malware und Datendiebe schließen

Da Unternehmen stärker vernetzt sind als je zuvor, erleichtern externe Geräte und…
KI in der IT-Security

Phänomen KI - Hype oder reale Chance für Herausforderungen in der Cybersicherheit?

Die aktuelle Flut an KI-fähigen Geschäftsmodellen und KI-Angeboten sorgt vielerorts für…
KI Cybersicherheit

KI in der Cybersicherheit: Warum eine Größe nicht für alle passt

Das rasante Tempo, mit dem sich die künstliche Intelligenz (KI) in den letzten Jahren…