Unternehmensdaten durch eine Web Application Firewall schützen

Web Application Firewall

Hackerangriffe und der damit verbundene Verlust größerer Mengen an sensiblen Kunden- oder Unternehmensdaten gehören scheinbar zum Alltag im digitalen Zeitalter. Doch kann man sich davor auch wirksam schützen? Ein wichtiges Instrument in diesem Kontext ist die Web Application Firewall. Mit ihr sollten sich nicht nur Banken, Versicherungen oder Online-Händler befassen, sondern alle Unternehmen, die über das Web mit ihren Kunden sensible Daten austauschen.

In vielen mittelständischen Unternehmen wiegt man sich in falscher Sicherheit: Denn hier herrscht der Glaube vor, dass man vor Hackerangriffen allein schon dadurch einigermaßen geschützt sei, weil man keine umfangreichen Webanwendungen wie einen Online-Shop betreibt. Übersehen wird dabei leicht, dass immer mehr Websites nicht mehr strikt isoliert nur auf einem Webserver arbeiten, sondern in mehr oder weniger großem Umfang Daten aus unternehmensspezifischen Anwendungen beziehen (und auf der Website bereitstellen).

Das können Produktinformationen wie etwa ein Lieferstatus sein, aber auch personelle Zuständigkeiten, die aus einer Personaldatenbank bezogen werden. Der Vorteil solcher Einbindungen besteht darin, dass damit auf einer Website stets aktuelle Informationen ausgegeben werden können, ohne dass diese gesondert einzupflegen sind: Ändert sich im Unternehmen eine personelle Zuständigkeit, reicht die Überarbeitung einer (internen) Datenbank und die Änderung wird sofort auch auf der Website an der richtigen Stelle sichtbar.

Doch genau darauf aber spekulieren immer mehr Hacker: Sie nutzen die Webanwendung als Einfallstor und können unter Umständen unbemerkt Datendiebstahl betreiben, weil sie die sensiblen Daten nur auslesen (kopieren), ohne die Datenbank oder das Verzeichnis selbst zu kompromittieren. Schlimmer noch: Einmal über die Website auf unternehmensinterne Datenverzeichnisse gelangt, können Hacker versuchen, sich noch tiefer Zugang zu streng vertraulichen Unternehmensdaten zu verschaffen.

Deshalb macht es Sinn, über den Einsatz einer Web Application Firewall nachzudenken. Diese stellt eine Art Filterebene dar, die zwischen Client und Webserver eingezogen wird. In der Folge werden alle (externen) Anfragen an die Webanwendung durch die Web Application Firewall durchgeleitet, um verdächtige oder schädliche Befehle, die über das Hypertext Transfer Protocol (HTTP) ausgeführt werden sollen, blockieren zu können, bevor sie überhaupt die Webanwendung erreichen. Der Ansatz ist elegant, weil dabei die zu schützende Webanwendung selbst nicht verändert werden muss.

Eine herkömmliche Firewall versagt an dieser Stelle, weil sie mit ihren Regeln für Ports und IP-Adressen schon grundsätzlich einen Webserver nicht schützen kann, nachdem hier ein umfangreicher Datenaustausch mit Dritten auf jeden Fall erwünscht ist. Die Web Application Firewall dagegen fragt nicht, „wer“ sich für Informationen interessiert, sondern analysiert die vom Benutzer (Client) an den Webserver übertragenen Daten und identifiziert auffällige Muster bzw. Manipulationen. Zudem kann sie feststellen, ob der Webserver an den Client sensible Unternehmensdaten weitergibt, die das Unternehmen gar nicht oder nicht in auffällig großen Mengen verlassen sollten.

In der Praxis gibt es für die Web Application Firewall (WAF) eine Vielzahl an Möglichkeiten der Implementierung. Grundsätzlich kann dafür eine zusätzliche Hardware-Komponente lokal installiert werden, oder der Schutz wird auf dem Webserver selbst realisiert. Nicht selten ist ein solcher Schutz serverseitig bereits eingerichtet oder vorgesehen und muss nur noch aktiviert bzw. konfiguriert werden. Daneben gibt es komplexe externe Lösungen von Drittanbietern (cloudbasiert).

Von Anfang an mitbedacht werden muss dabei, dass ab der Einrichtung einer Web Application Firewall jede Änderung der Webanwendung zwingend daraufhin überprüft werden muss, ob diese auch Änderungen bei den Einstellungen der WAF zur Folge hat. Da hier in aller Regel unterschiedliche Abteilungen zuständig sind, ist ein regelmäßiger Dialog zwischen etwa dem Marketing und den Verantwortlichen für IT zwingend notwendig. Die Einrichtung einer WAF erhöht dementsprechend nicht nur die IT-Sicherheit, sondern zieht (leider) auch einen gewissen, dauerhaften administrativen Mehraufwand nach sich.

Noch besser ist es, schon vor einem umfangreichen (Re-) Launch einer Website oder auch einer mobilen Anwendung (App) darüber nachzudenken, welche Konsequenzen der Einbau bestimmter Features auf die Unternehmenssicherheit hat und welche Folgekosten die vermeintliche „Ersparnis“ einer direkte Einbindung von Daten aus internen Datenquellen haben kann. Kleinere Unternehmen können hier durchaus zum Ergebnis kommen, dass die Ersparnis gar keine ist und in der Folge auf eine Web Application Firewall verzichten. Für andere Unternehmen wiederum wird dies von vornherein keine Option sein, wenn sie Kunden oder Lieferanten stets aktuelle Daten über das Web bereitstellen müssen.

Schreibe einen Kommentar