Wer Webprojekte entwickelt, sollte den Aspekt Sicherheit auf keinen Fall außer Acht lassen. Vor allem dann nicht, wenn er seinen Kunden ein qualitativ hochwertiges Produkt liefern möchte.
Denn es gibt mittlerweile unzählige Möglichkeiten, Schwachstellen in einer Webanwendung zu finden und diese auch schamlos auszunutzen. Dabei zählen die sicherlich bekannten Begriffe wie SQL-Injection, Cross-Site-Scripting, Man-In-The-Middle-Angriff nur zu den wenigen euch vielleicht geläufigen Angriffsmethoden.
Wieviele in Deutschland ansässige Webagenturen Sicherheit in der Entwicklung von Webprojekten groß schreiben wissen wir nicht. Allerdings liefert der Sicherheitsbericht The Software Security Risk Report des amerikanischen Softwarehersteller Coverity sowie eigene Projekterfahrungen eine gute Ahnung davon, wie die Realität in vielen IT-Unternehmen (trotzt möglicher guter Vorsätze) tatsächlich aussieht.
Marktanalyse zu sicheren Webanwendungen
Der Softwarehersteller Coverity hat im Jahr 2012 das Marktforschungsunternehmen Forrester Consulting mit einer Studie beauftragt, die diesen Umstand in verschiedenen Softwareunternehmen Nord Amerikas und Europas untersuchen sollten. Im Anbetracht der geringen Teilnehmerzahl von gerade einmal 240 Unternehmen sind die Ergebnisse unserer Meinung nach alarmierend.
Studienergebnisse zu Sicherheit in Webanwendungen
- 51% der Teilnehmer konnten in dem Zeitraum 2011 - 2012 mindestens einen Sicherheitsvorfall innerhalb der Webapplikation melden.
- 18% davon berichteten, dass dieser Vorfall einen Schaden von mindestens $500.000 verursacht hat.
Der nebenstehende Screenshot ist dem Report entnommen und zeigt eine Grafik zu den Ergebnissen. Den vollständigen Report kann man sich hier herunterladen.
Gründe für unsichere Webanwendungen
Der Report legt auch dar, was die Gründe für die Sicherheitslöcher in den entwickelten Webanwendungen laut der Teilnehmer waren. Nämlich folgende:
- Es wurde oft aufgrund des Zeitdrucks viel zu viel Code produziert um diesen gemäß den Qualitäts- und / oder Sicherheitsrichtlinien entsprechend testen zu lassen.
- Es gibt Probleme für das Management den geeigenten Business Case für sicherheitsrelevante Prüfungen zu generieren, so dass diese den Sinn und Wert für die Webapplikation erkennen. Denn in erster Linie bedeuten qualitäts- und sicherheitsrelevante Tätigkeiten für Führungspositionen nur zusätzliche Ausgaben (anstatt Einnahmen).
- Es fehlt an geeigneten Tools, die diese Aufgabe automatisiert übernehmen, sowie am notwendigen Wissen diese Tools auch entsprechend einzusetzen. Es wird noch zuviel Wert auf manuelle Code Reviews gelegt anstelle auf automatisierte Verfahren.
Top 3 Sicherheitsrisiken für Webanwendungen
Gemäß der Studie stellen die folgenden drei Angriffsmöglichkeiten das größte Sicherheitsrisiko für Webanwendungen dar.
- Verwendung des Standardpassworts
- Falsche Systemkonfiguration hinsichtlich der Sicherheitsaspekte
- SQL Injections
Die nebenstehende Grafik ist dem Report entnommen und zeigt das komplette Ergebnis der Umfrage.
Was macht eine Webanwendung sicher?
Es gibt verschiedene Aspekte in der Webentwicklung die dazu beitragen können die Anwendung sicher(er) zu machen und zwei gute Anlaufstellen hierfür sind nachfolgend erwähnt.
Broschüre zur Sicherheit in der Webentwicklung
Welche Aspekte dazu beitragen wie man Webanwendungen sicher macht, hat beispielsweise das Bundesamt für Sicherheit in der Informationstechnik sehr gut recherchiert. Auf deren Webseite findet man eine mehr als 100seitige Broschüre im PDF-Format mit Informationen und Best Practices zum Thema Sicherheit in der Webentwicklung. Die Datei kann man sich auf der BSI Webseite downloaden.
OWASP (Open Web Application Security Project)
Eine weitere Anlaufstelle für das Thema Sicherheit in der Webentwicklung ist das Open Web Application Security Project auch bekannt unter der Bezeichnung OWASP. Das OWASP Projekt hat ein umfangreiches Wikisystem mit Informationen zu dem Thema der Öffentlichkeit zugänglich gemacht.
OWASP Top 10
Laut OWASP sind die 10 größten Sicherheitsrisiken für Organisationen und Unternehmen in Webanwendungen folgende:
- Injection
- Fehler in Authentifizierung und Session-Management
- Cross-Site Scripting (XSS)
- Unsichere direkte Objektreferenzen
- Sicherheitsrelevante Fehlkonfiguration
- Verlust der Vertraulichkeit sensibler Daten
- Fehlerhafte Autorisierung auf Anwendungsebene
- Cross-Site Request Forgery (CSRF)
- Verwendung von Komponenten mit bekannten Schwachstellen
- Ungeprüfte Um- und Weiterleitungen
Fazit
Wie bereits zu Beginn erwähnt kann man nur Mutmaßungen anstellen, wieviele deutschsprachige Unternehmen in der Webentwicklung das Wort Sicherheit dem Kunden gegenüber nicht nur erwähnen, sondern auch praktizieren. Es ist naiv zu glauben, dass Sicherheitsvorfälle immer nur den anderen passieren und man selbst nicht davon betroffen ist. Spätestens die Unternehmen, die schon einmal unter einem Missbrauch ihrer Webanwendung und den daraus resultierenden Folgen zu leiden hatten, werden erkennen, dass es sich nicht wirklich um eine Randerscheinung handelt.
Dies bestätigt übrigends auch ein 2013 durchgeführter Sicherheitsbericht von Imperva, dem Marktführer im Bereich Data-Center-Security (Imperva Web Application Attack Report Edition #4 – July 2013). Wichtigstes Ergebnis der Studie ist die Tatsache, dass die beobachteten Webanwendungen durchschnittlich 4 Attacken pro Monat abbekamen, manche mussten sogar ständig Angriffe wie beispielsweise SQL Injections abwehren. Bei einer Webseite wurden an einem Tag mehr als 26 Attacken pro Minute aufgezeichnet. Zudem wurde festgestellt, dass Webapplikationen von Händlern zwei mal häufiger unter SQL Injections leiden als andere Branchen.
Unsichere Webseiten gibt es viele. Deswegen geht Sicherheit jeden etwas an! Es trifft nicht nur die großen Betreiber, Online-Shops oder Agenturen. Auch kleinere Webseiten sind beliebte Ziele, sei es um an Daten zu kommen oder den Webserver zu missbrauchen.
Wir hoffen der Artikel hat in angemessener Weise auf die Notwendigkeit von Sicherheitsmaßnahmen bei der Entwicklung von Webprojekten hingewiesen. Denn die Nutzung von Webanwendungen machen nun mal einen großen Teil unseres (zumindest meines) Tagesablaufs aus. Und im Anbetracht dessen und der sich häufenden Meldungen was gerade wieder für neu entdeckte Sicherheitslöcher, Datenschutzprobleme oder sonstige “Skandale” in bestimmten Applikationen entdeckt wurden, sollte man als qualitätsbewusstes Unternehmen seinen Teil dazu beitragen, das Web sicherer für die (leider oft nicht so sicherheitsbewussten) Anwender zu machen.
Wie wir helfen Webprojekte sicherer zu machen
Auch wir versuchen das Web sicherer zu machen. Selbst wenn wir keine Webapplikationen entwickeln, versuchen wir unseren Teil beizutragen. Wir unterstützen Hersteller von Webanwendungen (z.B. auf Basis von Drupal oder PHP) dabei, Ihrem Entwicklerteam die geeignete Infrastruktur für eine qualitäts- und sicherheitsrelevante Entwicklung bereit zu stellen.
Wir kennen die nötigen Tools, wissen wie man sie richtig konfiguriert und effizient einsetzt. Mit unserer Erfahrung bezüglich der richtigen Methoden und Werkzeuge helfen wir Entwicklungsabteilungen dabei qualitativ hochwertige und sichere Web Applikationen zu produzieren.