Für Unternehmen sollte das eigene interne Netzwerk ebenso gut geschützt sein, wie Fort Knox, denn es beinhaltet alle wesentlichen Informationen und Daten, welche das Unternehmen für Geschäftsprozesse, Produktionsabläufe und Kommunikation benötigt und die daher die wertvollste Ressource ist. Aus diesem Grund gilt es, alle erdenklichen Bereiche, zu denen auch die Web Application gehört, zu prüfen und identifizierte Schwachstellen zu schliessen.
Dr. Ewan Fleischmann von Redlings zur Bedeutung segmentierter Penetrationstests
Komplexität der IT-Infrastruktur als Herausforderung in Sachen IT-Sicherheit
Die Welt und damit die Wirtschaft rücken durch die fortschreitende Digitalisierung immer enger zusammen. Wo das Internet einerseits zu schnelleren Prozessen führt, da bietet es Cyberkriminellen andererseits die Möglichkeit, sich unbemerkt Zugang zu verschaffen. Ein mögliches Einfallstor sind Webanwendungen.
Als am häufigsten identifizierte Schwachstellen gelten unsichere Deserialisierungen (also Umwandlung von Datenstrukturen in speicherbare Formate), mangelhafte Überwachung und Protokollierung (etwa fehlgeschlagener Logins oder Überweisungsvorgänge), unzureichende Sicherheit von IoT-Geräten (Hersteller bauen nicht selten Hintertüren ein), genutzte CMS (Content-Management-Systeme) oder auch Verwendung von PHP (der dominierenden serverseitigen Sprache).
Eine adäquate Lösung zur Stärkung der Web Application Security sind Penetrationstests für Webanwendungen, die von Unternehmen mit Schwerpunkt Penetrationstests durchgeführt werden. Solche Pentests untersuchen die allgemeine Sicherheit und potenzielle Sicherheitsrisiken von Webanwendungen, einschließlich Programmierfehlern, nicht korrekt funktionierender Authentifizierung oder Autorisierung und Injektionsschwachstellen wie XSS oder SQL-Injections. Ebenso werden alle dazugehörigen Infrastrukturkomponenten, wie Web- oder Datenbankserver, auf Schwachstellen getestet.
Wie verläuft ein Web Application Pentest?
Man muss sich einen Penetrationstest als Angriff auf den Bereich der Web Application einer IT-Infrastruktur vorstellen. Der Unterschied zu einer realen Cyber-Attacke besteht darin, dass der ausführende IT-Sicherheitsexperte die Genehmigung des Unternehmens besitzt. Ein Web Application Pentest ist also im Grunde ein Hackerangriff in einem geschützten, vorher detailliert abgesprochenen Rahmen.
Der mit umfassendem Hackerwissen ausgestattete Penetrationstester versucht genauso vorzugehen, wie es ein echter Cyberkrimineller tun würde und versucht, über Programmfehler (SQL-Injections) oder mangelhafte Authentifizierungsverfahren bzw. durch überwinden von Firewalls in das von ihm getestete System zu gelangen.
Vorher wird der Tester im Rahmen einer sogenannten Enumeration technische Informationen bezüglich des IT-Systems bzw. des zu testenden Bereichs sammeln, z. B. über verwendete Firewalls, genutzte Netzwerkdienste, Authentifizierungsverfahren oder IP-Adressen. Auf Basis dieser Informationen unternimmt der Pentester dann den Versuch, Sicherheitsschwachstellen auszunutzen, über die Web Application in das IT-System einzudringen und zu testen, wie tief er vordringen kann. Ist er an die tiefste, zu erreichende Stelle gelangt, sammelt er erneut Informationen, die ihm dabei helfen sollen, von dieser Stelle aus noch weiter in das System zu gelangen.
Am Ende eines Web Application Penetrationstests steht, wie bei allen anderen Varianten auch, ein Bericht, in dem der IT-Sicherheitsexperte die vorgefundenen Rahmenparameter und seine Ergebnisse dokumentiert. Ein solcher Bericht enthält eine Auflistung der durch den Pentest identifizierten Sicherheitsschwachstellen. Zudem erstellt der Pentester eine detaillierte Beschreibung, wie sich jede Sicherheitslücke Schritt für Schritt ausnutzen lässt. Darüber hinaus gibt der Tester eine Einschätzung zum Gefahrenpotenzial der jeweiligen Schwachstelle und unterbreitet Vorschläge, wie sie sich schließen lässt.
Mögliche Rahmenbedingungen für den Web Application Pentest
In der Vorbereitung einer IT-Sicherheitsüberprüfung mithilfe eines Pentests lassen sich verschiedene Rahmenbedingungen festlegen. Zunächst wird zwischen Auftraggeber und Auftragnehmer vereinbart, ob der Test das gesamte System oder nur einen Teilbereich, etwa die Web Application betreffen soll.
Darüber hinaus kann festgelegt werden, welche Mittel der IT-Sicherheitsexperte einsetzt, um in das Netzwerk zu gelangen. Ein entsprechender Vertrag hält also im Idealfall detailliert fest, was erlaubt ist und was nicht als statthaft erachtet wird.
Ein wichtiges Detail besteht darin, ob der durchzuführende Pentest im beauftragenden Unternehmen angekündigt wird oder ob er als unangekündigte Überprüfung abläuft. Ist den IT-Abteilungen bekannt, dass und wann ein Pentest durchgeführt wird, können sie ihr Vorgehen bereits im Vorfeld planen. Werden sie hingegen überrascht, hat die Unternehmensführung die Möglichkeit, den Test und die Reaktion der IT-Abteilung sozusagen in „Echtzeit“ zu verfolgen. Dies gibt sehr oft nicht nur über die Effizienz der bereits vorhandenen Sicherheitsmaßnahmen, sondern auch hinsichtlich der Effizienz der IT-Abteilung.
Web Application Security als permanente Aufgabe der IT-Abteilung
Die Sicherheitsmaßnahmen, mit denen Unternehmen ihre IT-Infrastruktur in allen Bereichen vor ungenehmigten Zugriffen schützen, werden immer weiter optimiert. Allerdings bringen sich auch Cyberkriminelle immer wieder auf den neuesten Stand und entwickeln stetig neue Methoden, um sich Zugriff auf geschützte IT-Systeme zu verschaffen.
Aus diesem Grund ist es notwendig, dass Unternehmen dem Thema der IT-Sicherheit und damit auch der Web Application Security höchste Priorität einräumen. Der Schutz unternehmenseigener Daten und Informationen muss in den Unternehmensführungen angesiedelt sein. Nur so kann zügig auf die Ergebnisse von Web Application Pentests, Cloud Penetrationstests oder Netzwerk Penetrationstests reagiert und die identifizierten Schwachstellen geschlossen werden.
Web Application Security – Hackerangriffe effizient abwehren
Jede IT-Infrastruktur hat Schwachstellen, unabhängig davon, wie gut die Sicherheitsvorkehrungen sind. Um vorhandene oder potenzielle Schwachstellen im Bereich der Web Application zu kennen und sie durch zusätzliche Maßnahmen zu stärken, gibt es nur wenige Methoden, die effizienter sind als Web Application Penetrationstests. Dies gilt allerdings nur, wenn der jeweilige Auftraggeber die Testergebnisse nicht in irgendeiner Schublade ablegt, sondern sie ernstnimmt und seine IT-Sicherheitsarchitektur entsprechend optimiert.
