Im Netzwerk Insider vor 20 Jahren: Sicherheit von Webanwendungen

Die Situation vor 20 Jahren

Bereits vor 20 Jahren und auch schon vorher, mit dem Siegeszug des Internets, nahm die Verbreitung von Webanwendungen im Unternehmen mehr und mehr zu. Dabei stellte sich aber schnell heraus, dass viele Webanwendungen relativ einfach angreifbar waren. Insbesondere, wenn die Anwendungen aus dem Internet erreichbar sein sollten oder mussten, öffnete das Angreifern Tür und Tor.

Woran lag das? Das Bewusstsein für die sichere Entwicklung von Webanwendungen war damals noch nicht so weit verbreitet wie heute. Eine genaue Überprüfung der vom Nutzer eingegebenen Daten war meist nicht implementiert und erlaubte vielfältige Angriffsformen. Die häufigsten waren:

• SQL-Injection-Angriffe, durch die Befehle in der zugrunde liegenden Datenbank ausgeführt werden konnten. Dies erlaubte entweder die Manipulation der Datenbank oder das Auslesen von sensiblen Daten.
• Command-Injection-Angriffe, die eine ähnliche Idee wie SQL Injection verfolgen, aber Befehle auf dem zugrunde liegenden Betriebssystem ausführen. Bei einer suboptimalen Rechtevergabe war damit auch die Übernahme eines Systems möglich.
• Cross-Site-Scripting, mit dem man Nutzern auch über eine für sie eigentlich vertrauenswürdigen Webseite Schadcode „unterschmuggeln“ konnte.

Schon damals war absehbar, dass etwas geschehen musste, und der damalige Artikel im Netzwerk Insider zeigte einige Maßnahmen auf.

Die Situation heute

Liest man den vorherigen Abschnitt, könnte man denken: Moment mal, das ist doch heute noch so! Und ja, die Angriffsformen sind immer noch dieselben wie damals. Insbesondere Cross-Site-Scripting-Lücken werden auch heute noch fast täglich in einschlägigen Newstickern erwähnt.

Aber das Bewusstsein für die Sicherheit ist heute in vielen, aber leider nicht in allen Fällen deutlich besser. Gängige Frameworks für die Entwicklung von Webanwendungen erleichtern die Überprüfung von Eingabedaten. Außerdem gibt es mit Next Generation Firewalls und Web Application Firewalls sowie Security Information and Event Management (SIEM) Technologien, die Angriffe frühzeitig erkennen können. Aber ganz werden wir das Thema Schwachstellen in Webanwendungen nicht mehr loswerden.

Hinzu kommt, und das war damals in der Form noch nicht absehbar, dass viele Anwendungen heute ausschließlich über die Cloud und als Webanwendung bezogen werden können. Damals waren Webanwendungen vor allem ein Tor in das eigene Unternehmensnetzwerk. Heute kommen noch weitere Cloud-Komponenten und sonstige Integrationen hinzu. Es bleibt also spannend!

Fazit

Bei der Sicherheit von Webanwendungen hat sich in den letzten 20 Jahren vieles bewegt. Zwar klingen die Meldungen zu Sicherheitslücken ähnlich wie vor 20 Jahren, doch im Großen und Ganzen sind die Entwickler hier gründlicher geworden. Das heißt aber nicht, dass man sich zurücklehnen kann!