Spricht man von IT-Sicherheit, denken die meisten an Firewall, Einbruchserkennung oder etwa Perimeterschutz – und damit an Systeme, die Angriffe primär auf Infrastrukturebene zu erkennen und abzuwehren versuchen. Doch Ziel eines Angriffs ist heute sehr häufig eine Softwareanwendung, die in vielen Fällen auch Teil eines kritischen Geschäftsprozesses des Unternehmens ist. Schon hier „an der Wurzel“ müssen die Ursachen von Sicherheitsmängeln beseitigt werden, anstatt diese symptomatisch durch nachträgliche und teure Schutzmaßnahmen zu kaschieren. Deshalb dreht sich bei der Applikationssicherheit alles um die Konzipierung und Entwicklung von sicheren und robusten Softwareanwendungen.

Sicherheit von Anfang an

Wie einschlägige Studien zeigen, bewahrheitet sich auch beim Thema Sicherheit die aus der Softwareentwicklung bekannte Faustregel, wonach die Kosten für die Beseitigung von Mängeln mit fortschreitender Projektphase überproportional stark ansteigen. „Sicherheitsanforderungen des Kunden sollten unbedingt bereits bei der Planung der Software einfließen“, so SHE-Experte Daniel Wagner. „Damit bedeutende Sicherheitsrisiken, speziell bei typischen Webanwendungen, erst gar nicht auftreten, müssen bereits in der Implementierungsphase Fehler vermieden werden“, führt der IT-Sicherheitsberater weiter aus.

Selbst „alte Bekannte“ können Zähne zeigen Eine seit mehr als zwei Jahrzehnten bekannte (und immer noch aktuelle) Angriffsklasse gegen Softwaresysteme stellt der Pufferüberlauf (buffer overflow) dar. Man versteht darunter den Versuch eines Angreifers, ein System zu übernehmen, zu modifizieren oder zumindest dessen Betrieb zu stören, indem eine Schnittstelle mit mehr Daten überflutet wird als diese erwartet. Die Eingabevalidierung („input validation“) beschäftigt sich deshalb über die reine Längenüberprüfung von Daten hinaus mit der inhaltlichen Überprüfung möglichst aller von außen kommenden Informationen. Viele Angriffe nutzen aus, dass der Entwickler einer Anwendung nicht vorgesehen hat, dass etwa ein Formularfeld nicht nur einen Namen oder eine Artikelnummer enthalten kann, sondern funktional wirkende Syntax wie z.B. SQL-Anweisungen („SQL injection“). „Mit wenigen Handgriffen ist ein Angreifer dann in der Lage, durch Firewall und Webanwendung hindurch ungehindert Kommandos an ein Datenbanksystem abzusetzen“, erklärt Wagner. Eine sorgfältige Eingabevalidierung schützt zudem auch vor „Cross Site Scripting“-Angriffen. Diese für Websysteme typischen Attacken missbrauchen einen Server zur Ablage von gefährlichen Skripten.

[Vorherige]  1 2 3  [Nächste]