7 klassische Denkfehler beim Thema Web Application Security
Ergon Informatik AG (PR-Agentur)

7 klassische Denkfehler beim Thema Web Application Security

ID: 1392134
(firmenpresse) - Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock (https://www.airlock.com/de/home/)gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.

Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.

Gerade Webapplikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Das ist kein Wunder, da diese Anwendungen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nur die Daten der Webapplikation selber in Gefahr sind. Allerdings sind alle an die Anwendung angeschlossenen Systeme und Schnittstellen potenziell ebenfalls betroffen. Wirksamen Schutz gegen unerlaubte Datenzugriffe bieten Web Application Firewalls (WAFs) zwischen Anwender und Webanwendung, die nur gültige URLs zulassen und somit Backend-Systeme vor illegalem Zugriff schützen.

Annahme 2: Die Sicherheit von Webanwendungen muss schon bei der Entwicklung sichergestellt werden.

Natürlich lassen Applikationsentwickler Sicherheitsaspekte in die Entwicklung einfließen. Im späteren Einsatz ist die Anwendung ein Bestandteil einer komplexeren IT-Landschaft, auf die der Entwickler keinen Einfluss mehr hat. Hinzu kommt, dass Entwickler auch nur die Risiken berücksichtigen können, die zum Zeitpunkt der Entwicklung bekannt sind.

Annahme 3: Wir verschlüsseln den gesamten Datenverkehr mit SSL (HTTPS) und das reicht.

Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Webbrowser und dem Server, nicht die Absicherung des Servers selbst. Auch Hacker nutzen diesen Schutz. So gelangen ihre Angriffe über diesen Weg "sicher" und verschlüsselt bis zum Firmen-Webserver. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden - leistungsfähige WAFs verschaffen an diesem Punkt die nötige Kontrolle.



Annahme 4: Unsere Systeme sind immer aktuell gepatcht und wir lassen regelmäßig einen automatischen Scanner laufen, da ist alles auf Grün.

Automatische Scanner liefern einen Überblick über Schwachstellen in einer Unternehmens-IT - die meisten Angriffe auf Webapplikationen erkennen sie jedoch nicht. Trotz eines positiven Scan-Ergebnisses können Hacker unbemerkt in die Webapplikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetrationstest durchzuführen.

Annahme 5: Unsere Webapplikationen sind sicher, bei uns ist noch nie etwas passiert.

Laut Gartner sind drei von vier Webanwendungen angreifbar, wobei drei Viertel aller Angriffe sogar direkt auf Webapplikationen zielen. Dabei hinterlassen Hackerzugriffe auf Webanwendungen oft keine Spuren und werden nicht entdeckt, weil die Daten nicht verschwinden oder verändert werden - alle Anwendungen funktionieren normal weiter und es werden auch keine Systemzugriffe verzeichnet. Um auch gegen diese Angriffe gewappnet zu sein, ist ein dynamischer Schutz nötig, der sich an der konkreten Applikation orientiert und nicht an Tausenden (reaktiver, häufig sogar veralteter) Signaturen.

Annahme 6: Bei uns gab es Angriffe, aber es sind keine Daten gestohlen worden.

Das Problem ist, dass elektronischer Datendiebstahl meist nicht von normalen Anwendungszugriffen zu unterscheiden ist. Somit kann das Unternehmen nicht wissen, ob und wie lange schon jemand Daten über eine Schwachstelle elektronisch kopiert hat - diese Art des Angriffs hinterlässt schließlich keinerlei Spuren. Am wirksamsten ist daher der proaktive Schutz der Systeme mit Security-Lösungen mit mehreren Sicherheitsstufen. Der wichtigste Filter ist die Authentisierungsabfrage an den Benutzer, die den Anwendungen vorgelagert ist. Sie stellt sicher, dass nur Befugte Zugang erhalten und überhaupt mit dem Applikationsserver interagieren dürfen.

Annahme 7: Wir nutzen bereits einen Reverse-Proxy-Server und setzen die besten und teuersten Firewalls ein, sogar zwei verschiedene hintereinander.

Netzwerk-Firewalls prüfen möglichst in Echtzeit den Datenverkehr zum Webserver beziehungsweise die Signaturen und Protokolle der Nutzeranfragen an den Server. Die Firewall erkennt hauptsächlich einfache Angriffe mit vordefinierten Signaturen. Um die meist getarnten Hackerangriffe zu identifizieren, müsste eine Firewall mindestens zusätzlich auf den verschlüsselten Datenverkehr zugreifen können. Dies ist meist nicht der Fall.Weitere Infos zu dieser Pressemeldung:
https://www.airlock.com/de/home/


Themen in dieser Pressemitteilung:

airlock

sicherheit

security

webanwendung

hacker



Unternehmensinformation / Kurzprofil:

Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.

Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock ist seit dem Jahr 2002 am Markt und heute bei über 350 Kunden weltweit im Einsatz. Weitere Informationen unter www.airlock.com



PresseKontakt / Agentur:

Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Straße 42 A
80331 München
sk(at)schwartzpr.de
+49 (0) 89 211 871 36
http://www.schwartzpr.de



drucken  als PDF  DOK GmbH entwickelt App zur Koordination von Fremdfirmen Weltpremiere auf der gamescom: AOC stellt mit seinem ersten VR-Headset ein wahrhaft immersives Display vor
Bereitgestellt von Benutzer: Adenion
Datum: 23.08.2016 - 17:40 Uhr
Sprache: Deutsch
News-ID 1392134
Anzahl Zeichen: 4907

Kontakt-Informationen:
Ansprechpartner: Sven Kersten-Reichherzer
Stadt:

München


Telefon: +49 (0) 89 211 871 36

Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 584 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"7 klassische Denkfehler beim Thema Web Application Security"
steht unter der journalistisch-redaktionellen Verantwortung von

Ergon Informatik AG (PR-Agentur) (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von Ergon Informatik AG (PR-Agentur)
Vom Stolperstein zum Meilenstein - Praxis-Leitfaden zur erfolgreichen Umsetzung von IAM-Projekten ...
Airlock veröffentlicht zusammen mit seinen Partnern Beta Systems, TIMETOACT und KPMG den Praxis-Leitfaden "Vom Stolperstein zum Meilenstein: IAM-Projekte erfolgreich umsetzen", der sich an CISOs, IAM- und IT-Sicherheits-Experten richtet. Der IAM-Leitfaden erklärt die Unterschiede der ver

IAM-Kongress auf der it-sa: "IAM-Projekte erfolgreich umsetzen" ...
Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, veranstaltet während der diesjährigen IT-Sicherheitsfachmesse it-sa 2018 in Nürnberg am 10. Oktober ab 9:00 Uhr zusammen mit seinen Partnern Beta Systems, KPMG und TIMETOACT den IAM-Kongress "IAM-Projekte er

Airlock mit neuem Integrationspartner TIMETOACT GROUP ...
Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG, gibt seinen neuen Integrationspartner TIMETOACT bekannt. TIMETOACT ist Spezialist für die Beratung und Anwendungsentwicklung auf Basis von IBM-Software, Microsoft, Google Software und offenen Standards. Airlock wir


Weitere Mitteilungen von Ergon Informatik AG (PR-Agentur)


Aktuelle Mitteilungen aus der Kategorie: New Media & Software
DOK GmbH entwickelt App zur Koordination von Fremdfirmen ...
Stuttgart, 23. August 2016. Viele große Unternehmen vergeben Arbeiten auf dem Werksgelände an Fremdfirmen - etwa Handwerkerleistungen oder Ge-bäudereinigungen. Zur einfachen Koordination und Kontrolle dieser Auf-tragsarbeiten bietet die DOK GmbH die innovative App "Firmenkoordinator" fÃ

Immer schön am Ball bleiben - IBsolution beim 2. Freiberger Firmencup 2016 ...
22 Firmenmannschaften haben in über 80 Spielen um den Titel gekämpft. Auch die IBsolution GmbH war mit einer hoch motivierten Firmenmannschaft und einem eigenen Stand vertreten. Das große Ziel war es, die Vorrunde erfolgreich zu absolvieren, um in die Hauptrunde einzuziehen. Hierbei standen vor

DATA MODUL stellt neue Display-Technologien und HMI-Systeme vor ...
DATA MODUL, Spezialanbieter professioneller Displaylösungen, präsentiert auf der diesjährigen SMM in Hamburg innovative Produktentwicklungen und Anzeigelösungen für Marine-und Industrieanwendungen. Vorgestellt wird die neueste Generation von Marine Panel PCs in den Displaydiagonalen 22

„Am besten gleich Theaterkarten sichern!“ ...
Nein, eine besondere Beziehung zum Bernsteinzimmer habe sie nicht, unterstreicht Regisseurin Maria von Bismarck. Aber Monate bevor die Regiearbeit am „Fluch des Bernsteinzimmers“ im Gespräch war, hatte sie eine Begegnung mit einer Frau, die ihr erklärte, dass sie ganz genau wisse, wo das Berns


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z